Los actores de amenazas han desarrollado módulos personalizados para comprometer varios dispositivos ICS, así como estaciones de trabajo de Windows que representan una amenaza inminente, particularmente para los proveedores de energía.
Los actores de amenazas han creado y están listos para implementar herramientas que pueden hacerse cargo de una serie de dispositivos de sistemas de control industrial (ICS) ampliamente utilizados, lo que significa problemas para los proveedores de infraestructura crítica, particularmente aquellos en el sector energético, advirtieron las agencias federales.
In una asesoría conjunta, el Departamento de Energía (DoE), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y el FBI advierten que "ciertos actores de amenazas persistentes avanzadas (APT)" ya han demostrado la capacidad "para obtener acceso completo". acceso al sistema a múltiples dispositivos de sistema de control industrial (ICS) / control de supervisión y adquisición de datos (SCADA)”, según la alerta.
Las herramientas personalizadas desarrolladas por las APT les permiten, una vez que han obtenido acceso a la red de tecnología operativa (OT), buscar, comprometer y controlar los dispositivos afectados, según las agencias. Esto puede conducir a una serie de acciones nefastas, incluida la elevación de privilegios, el movimiento lateral dentro de un entorno OT y la interrupción de dispositivos o funciones críticas, dijeron.
Los dispositivos en riesgo son: controladores lógicos programables (PLC) MODICON y MODICON Nano de Schneider Electric, incluidos (entre otros) TM251, TM241, M258, M238, LMC058 y LMC078; PLC OMRON Sysmac NEX; y servidores Open Platform Communications Unified Architecture (OPC UA), dijeron las agencias.
Los APT también pueden comprometer las estaciones de trabajo de ingeniería basadas en Windows que están presentes en entornos de TI u OT utilizando un exploit para una vulnerabilidad conocida en un ASRock. tarjeta madre conductor, dijeron.
Se debe prestar atención a la advertencia
Aunque las agencias federales a menudo emiten avisos sobre amenazas cibernéticas, un profesional de seguridad instó proveedores de infraestructura crítica no tomar esta advertencia en particular a la ligera.
“No se equivoquen, esta es una alerta importante de CISA”, observó Tim Erlin, vicepresidente de estrategia de Tripwire, en un correo electrónico a Threatpost. “Las organizaciones industriales deberían prestar atención a esta amenaza”.
Señaló que si bien la alerta en sí se centra en las herramientas para obtener acceso a dispositivos ICS específicos, el panorama general es que todo el entorno de control industrial está en riesgo una vez que un actor de amenazas se afianza.
“Los atacantes necesitan un punto inicial de compromiso para obtener acceso a los sistemas de control industrial involucrados, y las organizaciones deben construir sus defensas en consecuencia”, aconsejó Erlin.
Conjunto de herramientas modulares
Las agencias proporcionaron un desglose de las herramientas modulares desarrolladas por APT que les permiten realizar "vulneraciones altamente automatizadas contra dispositivos específicos", dijeron.
Describieron las herramientas como si tuvieran una consola virtual con una interfaz de comando que refleja la interfaz del dispositivo ICS/SCADA de destino. Los módulos interactúan con los dispositivos específicos, lo que brinda a los actores de amenazas incluso menos calificados la capacidad de emular capacidades más calificadas, advirtieron las agencias.
Las acciones que los APT pueden realizar con los módulos incluyen: escanear en busca de dispositivos objetivo, realizar un reconocimiento de los detalles del dispositivo, cargar una configuración/código malicioso en el dispositivo objetivo, realizar una copia de seguridad o restaurar el contenido del dispositivo y modificar los parámetros del dispositivo.
Además, los actores de APT pueden usar una herramienta que instala y explota una vulnerabilidad en el controlador de placa base ASRock AsrDrv103.sys rastreado como CVE-2020-15368. La falla permite la ejecución de código malicioso en el kernel de Windows, lo que facilita el movimiento lateral en un entorno de TI u OT, así como la interrupción de dispositivos o funciones críticas.
Orientación a dispositivos específicos
Los actores también tienen módulos específicos para atacar al otro. dispositivos ICS. El módulo para Schneider Electric interactúa con los dispositivos a través de protocolos de gestión normales y Modbus (TCP 502).
Este módulo puede permitir a los actores realizar varias acciones maliciosas, incluida la ejecución de un escaneo rápido para identificar todos los PLC de Schneider en la red local; contraseñas de PLC de fuerza bruta; llevar a cabo un ataque de denegación de servicio (DoS) para impedir que el PLC reciba comunicaciones de red; o realizar un ataque de "paquete de la muerte" para bloquear el PLC, entre otros, según el aviso.
Otros módulos en la herramienta APT apuntan a los dispositivos OMRON y pueden buscarlos en la red, así como realizar otras funciones comprometedoras, dijeron las agencias.
Además, los módulos de OMRON pueden cargar un agente que permite a un actor de amenazas conectarse e iniciar comandos, como manipulación de archivos, capturas de paquetes y ejecución de código, a través de HTTP y/o Protocolo seguro de transferencia de hipertexto (HTTPS), según la alerta.
Finalmente, un módulo que permite el compromiso de los dispositivos OPC UA incluye una funcionalidad básica para identificar servidores OPC UA y conectarse a un servidor OPC UA usando credenciales predeterminadas o previamente comprometidas, advirtieron las agencias.
Mitigaciones recomendadas
Las agencias ofrecieron una extensa lista de mitigaciones para que los proveedores de infraestructura crítica eviten el compromiso de sus sistemas por las herramientas APT.
“Esto no es tan simple como aplicar un parche”, señaló Erwin de Tripwire. De la lista, citó el aislamiento de los sistemas afectados; empleando detección de punto final, configuración y monitoreo de integridad; y el análisis de registros como acciones clave que las organizaciones deben tomar de inmediato para proteger sus sistemas.
Los federales también recomendaron que los proveedores de infraestructura crítica tengan un plan de respuesta a incidentes cibernéticos que todas las partes interesadas en TI, seguridad cibernética y operaciones conozcan y puedan implementar rápidamente si es necesario, así como mantener copias de seguridad fuera de línea válidas para una recuperación más rápida en caso de un ataque disruptivo, entre otras mitigaciones. .
¿Pasar a la nube? Descubra amenazas emergentes de seguridad en la nube junto con consejos sólidos sobre cómo defender sus activos con nuestro Libro electrónico descargable GRATIS, "Seguridad en la nube: el pronóstico para 2022". Exploramos los principales riesgos y desafíos de las organizaciones, las mejores prácticas para la defensa y los consejos para el éxito de la seguridad en un entorno informático tan dinámico, incluidas listas de verificación útiles.
- blockchain
- Coingenius
- Infraestructura crítica
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
- zephyrnet
