O governo dos EUA está a alertar que hacktivistas pró-Rússia estão à procura e a invadir sistemas de tecnologia operacional (TO) inseguros, usados para perturbar operações de infraestruturas críticas.
A consultoria conjunta vem de seis agências governamentais dos EUA, incluindo CISA, FBI, NSA, EPA, DOE, USDA e FDA, bem como do Centro Multiestatal de Compartilhamento e Análise de Informações (MS-ISAC), do Centro de Segurança Cibernética do Canadá ( CCCS) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC-UK).
Os dispositivos TO são uma combinação de plataformas de {hardware} e software program usadas para monitorar e controlar processos ou atividades físicas na fabricação, infraestrutura crítica e outros setores. Por exemplo, as estações de tratamento de água utilizam dispositivos TO para gerir o tratamento, a distribuição e a pressão da água para fornecer um abastecimento de água contínuo e seguro.
Num comunicado divulgado hoje, o governo dos EUA alerta que hacktivistas pró-Rússia têm como alvo dispositivos TO inseguros e mal configurados desde 2022 para interromper operações ou criar “efeitos incômodos”.
“A atividade hacktivista pró-Rússia contra esses setores parece limitada principalmente a técnicas pouco sofisticadas que manipulam equipamentos ICS para criar efeitos incômodos”, diz o documento. assessoria conjunta.
“No entanto, as investigações identificaram que esses atores são capazes de utilizar técnicas que representam ameaças físicas contra ambientes de TO inseguros e mal configurados”.
O governo diz que muitos dos ataques são exagerados, mas alguns ataques recentes em 2024 levaram a um pouco mais de perturbação.
Um grupo hacktivista pró-Rússia conhecido como Exército Cibernético da Rússia alegou estar por trás de ataques às estações de tratamento e processamento de água no Texas e Indiana, bem como à infraestrutura hídrica na Polônia e na França.
Embora a instalação de água do Texas confirmou que um ataque causou o transbordamento de um tanquea estação de tratamento de águas residuais de Indiana disse à CNN eles foram alvo, mas não violados.
Embora o Exército Cibernético e outros grupos afirmem ser hacktivistas, um relatório recente da Mandiant vinculou o grupo aos hackers Sandwormum ator avançado de ameaça persistente rastreado como APT44 e vinculado à Diretoria Principal de Inteligência da Rússia (GRU), a agência de inteligência militar estrangeira do país.
Mitigando ataques em dispositivos TO
O comunicado alerta que as agências governamentais têm visto esses hacktivistas visando dispositivos TO através de diferentes técnicas, utilizando principalmente VNC:
- Usando o protocolo VNC para acessar interfaces homem-máquina (HMIs) e fazer alterações no TO subjacente. O VNC é usado para acesso remoto a interfaces gráficas de usuário, incluindo IHMs que controlam sistemas TO.
- Aproveitando o protocolo VNC Distant Body Buffer para fazer login em IHMs para controlar sistemas OT.
- Aproveitando o VNC pela porta 5900 para acessar IHMs usando credenciais padrão e senhas fracas em contas não protegidas por autenticação multifator
Para se proteger contra esses ataques, o comunicado oferece uma ampla gama de etapas, incluindo colocar IHMs atrás de firewalls, fortalecer instalações VNC, permitir autenticação multifator, aplicar as atualizações de segurança mais recentes e alterar senhas padrão, além de aumentar a postura geral de segurança dos ambientes de TI.
“Este ano observámos hacktivistas pró-Rússia expandirem a sua segmentação para incluir sistemas vulneráveis de controlo industrial norte-americanos e europeus”, disse Dave LuberDiretor de Segurança Cibernética da NSA.
“A NSA recomenda fortemente que os administradores de TO das organizações de infraestrutura crítica implementem as mitigações descritas neste relatório, especialmente alterando quaisquer senhas padrão, para melhorar sua postura de segurança cibernética e reduzir a vulnerabilidade de seus sistemas a esse tipo de direcionamento.”