A Rockwell Automation está incentivando seus clientes a desconectarem todos os sistemas de controle industrial (ICSs) que não devem ser conectados à Web pública para mitigar atividades cibernéticas não autorizadas ou maliciosas.
A empresa disse que está emitindo o comunicado devido ao “aumento das tensões geopolíticas e da atividade cibernética adversária em todo o mundo”.
Para esse efeito, os clientes são obrigados a tomar medidas imediatas para determinar se possuem dispositivos acessíveis através da Web e, em caso afirmativo, cortar a conectividade daqueles que não devem ficar expostos.
“Os usuários nunca devem configurar seus ativos para serem conectados diretamente à Web pública”, acrescentou ainda a Rockwell Automation.
“Remover essa conectividade como uma etapa proativa reduz a superfície de ataque e pode reduzir imediatamente a exposição a atividades cibernéticas não autorizadas e maliciosas de agentes de ameaças externos”.
Além disso, as organizações são obrigadas a garantir que adotaram as mitigações e patches necessários para se protegerem contra as seguintes falhas que afetam seus produtos –
O alerta também foi compartilhado pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), que também recomenda que usuários e administradores sigam as medidas apropriadas descritas nas orientações para reduzir a exposição.
 |
| Um malware PLC baseado na Internet |
Isto inclui um comunicado de 2020 divulgado conjuntamente pela CISA e pela Agência de Segurança Nacional (NSA) alertando sobre atores mal-intencionados que exploram ativos de tecnologia operacional (OT) acessíveis pela Web para realizar atividades cibernéticas que podem representar ameaças graves a infraestruturas críticas.
“Os intervenientes cibernéticos, incluindo grupos de ameaças persistentes avançadas (APT), têm como alvo os sistemas OT/ICS nos últimos anos para obter ganhos políticos, vantagens económicas e, possivelmente, para executar efeitos destrutivos”, observou a NSA em Setembro de 2022.
Também foram observados adversários conectando-se a controladores lógicos programáveis (CLPs) expostos publicamente e modificando a lógica de controle para desencadear comportamentos indesejáveis.
Na verdade, uma pesquisa recente apresentada por um grupo de acadêmicos do Georgia Institute of Expertise no Simpósio NDSS em março de 2024 descobriu que é possível realizar um ataque do tipo Stuxnet comprometendo a aplicação internet (ou interfaces homem-máquina) hospedada por os servidores internet incorporados nos PLCs.
Isso implica explorar a interface baseada na internet do PLC usada para monitoramento, programação e configuração remota, a fim de obter acesso inicial e, em seguida, aproveitar as interfaces de programação de aplicativos (APIs) legítimas para sabotar o maquinário subjacente do mundo actual.
“Esses ataques incluem falsificação de leituras de sensores, desativação de alarmes de segurança e manipulação de atuadores físicos”, disseram os pesquisadores. “O surgimento da tecnologia internet em ambientes de controle industrial introduziu novas preocupações de segurança que não estão presentes no domínio de TI ou nos dispositivos IoT de consumo”.
O novo malware PLC baseado na Internet tem vantagens significativas sobre as técnicas existentes de malware PLC, como independência de plataforma, facilidade de implantação e níveis mais elevados de persistência, permitindo que um invasor execute secretamente ações maliciosas sem ter que implantar malware de lógica de controle.
Para proteger redes OT e ICS, é aconselhável limitar a exposição das informações do sistema, auditar e proteger pontos de acesso remoto, restringir o acesso à rede e controlar ferramentas e scripts de aplicativos do sistema para usuários legítimos, realizar revisões periódicas de segurança e implementar um ambiente de rede dinâmico.
