Gli attori delle minacce hanno sviluppato moduli personalizzati per compromettere vari dispositivi ICS e workstation Windows che rappresentano una minaccia imminente, in particolare per i fornitori di energia.
Gli attori delle minacce hanno creato e sono pronti a implementare strumenti in grado di prendere il controllo di una serie di dispositivi di sistema di controllo industriale (ICS) ampiamente utilizzati, il che rappresenta un problema per i fornitori di infrastrutture critiche, in particolare quelli del settore energetico, hanno avvertito le agenzie federali.
In una consulenza congiunta, il Dipartimento dell'Energia (DoE), la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) e l'FBI avvertono che "alcuni attori delle minacce persistenti avanzate (APT)" hanno già dimostrato la capacità accesso al sistema a più dispositivi di sistema di controllo industriale (ICS)/controllo di supervisione e acquisizione dati (SCADA)", secondo l'avviso.
Gli strumenti su misura sviluppati dagli APT consentono loro, una volta ottenuto l'accesso alla rete della tecnologia operativa (OT), di scansionare, compromettere e controllare i dispositivi interessati, secondo le agenzie. Ciò può portare a una serie di azioni nefaste, tra cui l'elevazione dei privilegi, il movimento laterale all'interno di un ambiente OT e l'interruzione di dispositivi o funzioni critiche, hanno affermato.
I dispositivi a rischio sono: Schneider Electric MODICON e MODICON Nano controllori logici programmabili (PLC), inclusi (ma non limitati a) TM251, TM241, M258, M238, LMC058 e LMC078; PLC OMRON Sysmac NEX; e server Open Platform Communications Unified Architecture (OPC UA), hanno affermato le agenzie.
Gli APT possono anche compromettere le workstation di progettazione basate su Windows presenti in ambienti IT o OT utilizzando un exploit per una vulnerabilità nota in un ASRock scheda madre autista, dicevano.
L'avvertimento dovrebbe essere ascoltato
Sebbene le agenzie federali pubblichino spesso avvisi sulle minacce informatiche, un professionista della sicurezza ha esortato fornitori di infrastrutture critiche non prendere alla leggera questo particolare avvertimento.
"Non commettere errori, questo è un avviso importante della CISA", ha osservato Tim Erlin, vicepresidente della strategia di Tripwire, in un'e-mail a Threatpost. "Le organizzazioni industriali dovrebbero prestare attenzione a questa minaccia".
Ha osservato che mentre l'avviso stesso si concentra sugli strumenti per ottenere l'accesso a dispositivi ICS specifici, il quadro più ampio è che l'intero ambiente di controllo industriale è a rischio una volta che un attore di minacce prende piede.
"Gli aggressori hanno bisogno di un punto iniziale di compromesso per ottenere l'accesso ai sistemi di controllo industriale coinvolti e le organizzazioni dovrebbero costruire le proprie difese di conseguenza", ha consigliato Erlin.
Set di strumenti modulari
Le agenzie hanno fornito una ripartizione degli strumenti modulari sviluppati dagli APT che consentono loro di condurre "exploit altamente automatizzati contro dispositivi mirati", hanno affermato.
Hanno descritto gli strumenti come dotati di una console virtuale con un'interfaccia di comando che rispecchia l'interfaccia del dispositivo ICS/SCADA di destinazione. I moduli interagiscono con i dispositivi mirati, offrendo anche agli attori delle minacce meno qualificati la possibilità di emulare capacità più qualificate, hanno avvertito le agenzie.
Le azioni che gli APT possono intraprendere utilizzando i moduli includono: scansione per dispositivi mirati, ricognizione sui dettagli del dispositivo, caricamento di configurazione/codice dannoso sul dispositivo di destinazione, backup o ripristino del contenuto del dispositivo e modifica dei parametri del dispositivo.
Inoltre, gli attori APT possono utilizzare uno strumento che installa e sfrutta una vulnerabilità nel driver della scheda madre ASRock AsrDrv103.sys tracciato come CVE-2020-15368. Il difetto consente l'esecuzione di codice dannoso nel kernel di Windows, facilitando lo spostamento laterale di un ambiente IT o OT, nonché l'interruzione di dispositivi o funzioni critiche.
Targeting di dispositivi specifici
Gli attori hanno anche moduli specifici per attaccare l'altro dispositivi ICS. Il modulo per Schneider Electric interagisce con i dispositivi tramite i normali protocolli di gestione e Modbus (TCP 502).
Questo modulo può consentire agli attori di eseguire varie azioni dannose, inclusa l'esecuzione di una scansione rapida per identificare tutti i PLC Schneider sulla rete locale; password PLC per forza bruta; condurre un attacco denial-of-service (DoS) per impedire al PLC di ricevere comunicazioni di rete; o condurre un attacco "pacchetto della morte" per mandare in crash il PLC, tra gli altri, secondo l'avviso.
Altri moduli nello strumento APT prendono di mira i dispositivi OMRON e possono scansionarli sulla rete oltre a svolgere altre funzioni compromettenti, hanno affermato le agenzie.
Inoltre, i moduli OMRON possono caricare un agente che consente a un attore di minacce di connettersi e avviare comandi, come manipolazione di file, acquisizione di pacchetti ed esecuzione di codice, tramite HTTP e/o Hypertext Transfer Protocol Secure (HTTPS), in base all'avviso.
Infine, un modulo che consente la compromissione dei dispositivi OPC UA include funzionalità di base per identificare i server OPC UA e per connettersi a un server OPC UA utilizzando credenziali predefinite o precedentemente compromesse, hanno avvertito le agenzie.
Mitigazioni consigliate
Le agenzie hanno offerto un ampio elenco di mitigazioni per i fornitori di infrastrutture critiche per evitare la compromissione dei loro sistemi da parte degli strumenti APT.
"Questo non è semplice come applicare una patch", ha osservato Erwin di Tripwire. Dell'elenco, ha citato l'isolamento dei sistemi interessati; impiegando il rilevamento degli endpoint, la configurazione e il monitoraggio dell'integrità; e l'analisi dei registri come azioni chiave che le organizzazioni dovrebbero intraprendere immediatamente per proteggere i propri sistemi.
I federali hanno inoltre raccomandato ai fornitori di infrastrutture critiche di disporre di un piano di risposta agli incidenti informatici che tutte le parti interessate nell'IT, nella sicurezza informatica e nelle operazioni conoscano e possano implementare rapidamente se necessario, oltre a mantenere validi backup offline per un ripristino più rapido in caso di attacco dirompente, tra le altre mitigazioni .
Passare al cloud? Scopri le minacce emergenti alla sicurezza del cloud insieme a solidi consigli su come difendere le tue risorse con il nostro EBook scaricabile GRATUITAMENTE, "Sicurezza cloud: le previsioni per il 2022". Esploriamo i principali rischi e sfide delle organizzazioni, le migliori pratiche per la difesa e i consigli per il successo della sicurezza in un ambiente informatico così dinamico, inclusi utili elenchi di controllo.
- blockchain
- geniale
- Infrastruttura critica
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
- zefiro
