Lo sfrontato dirottamento di un sistema idrico da parte di un utente malintenzionato all'inizio di quest'anno, presso l'impianto di trattamento delle acque della città di Oldsmar in Florida, non c'era Stuxnet-or tritoneviolazione di livello. Ma la relativa semplicità dell'attacco a cui l'intruso sembrava aver in qualche modo agito ottenuto le credenziali di sistema per controllare in remoto le impostazioni tramite l'applicazione TeamViewer, incarna la minaccia tipica che la maggior parte delle reti OT si trova oggi ad affrontare: attacchi principalmente rudimentali che sfruttano sistemi di controllo industriale (ICS) esposti inavvertitamente alla rete Internet aperta o che abusano di credenziali cronicamente deboli o condivise.
In molti casi, le organizzazioni industriali – pur essendo probabilmente una cattura preziosa – non vengono inizialmente prese di mira dall’aggressore, e l’obiettivo non è un attacco cyber-fisico. Questa tendenza è stata sottolineata lo scorso anno, secondo i ricercatori del team Cyber Physical Intelligence di Mandiant. Hanno identificato un notevole aumento degli incidenti legati a OT dal 2020, con la maggior parte degli attori che non cerca di spegnere le luci, avvelenare l’acqua o eseguire alcun risultato fisico. Anche le loro tattiche erano tutt’altro che sofisticate e spesso non cercavano necessariamente obiettivi OT ma si imbattevano invece in queste vittime.
La ricerca di Mandiant, pubblicata oggi, sugli incidenti OT pubblici segnalati pubblicamente e non precedenti mostra un aumento degli aggressori nell'ultimo anno che tentano di monetizzare il proprio accesso a un sistema ICS esposto e un'ondata di condivisione di informazioni da parte degli aggressori che hanno condiviso video e screenshot di sistemi industriali a cui hanno potuto accedere e come lo hanno fatto, a un livello più frequente di quanto Mandiant avesse mai visto prima.
Questi incidenti hanno interessato i pannelli solari e i sistemi di controllo dell’acqua, nonché i sistemi di automazione degli edifici (BAS) e i sistemi di sicurezza domestica. Gli aggressori hanno utilizzato strumenti di ricerca noti come Shodan e Censys, nonché tattiche, tecniche e procedure comuni (TTP).
"Questi sono gravi... ma non al livello di Triton", afferma Nathan Brubaker, senior manager dell'analisi presso Mandiant Threat Intelligence, degli eventi e degli incidenti di sicurezza riportati oggi dalla sua azienda. Anche così, dice, questo mix di criminali informatici, hacktivisti e neofiti sta acquisendo informazioni e conoscenze su ambienti ICS complessi attraverso una crescente condivisione di informazioni nel cyber underground.
"Ci sono tutorial che mostrano Shodan e come girarci intorno e trovare i servizi idrici e poi da lì fare clic su e su quell'HMI [interfaccia uomo-macchina] che è esposta. E se non ti viene richiesto di autenticarti, puoi fare quello che vuoi”, dice.
Brubaker, che ha lavorato nella squadra di risposta agli incidenti della Mandiant per l'attacco del Tritone, dice che questo lo preoccupa.
“Questi attori stanno costruendo competenze e volontà [di entrare] in contatto con altri attori. E se si incontrassero con un gruppo di ransomware" e unissero le forze, chiede. “Ciò renderebbe il ransomware più influente su OT.” Questo lo riguarda.
Sergio Caltagirone di Dragos, vicepresidente dell'intelligence sulle minacce presso la società di sicurezza ICS, ha definito l'attacco alla città di Oldsmar "l'esempio perfetto" del tipo di attacco ICS che la sua azienda vede spesso. Non si tratta tanto del temuto e sofisticato tipo di attacco malware personalizzato ICS da parte di hacker nazionali dotati di maggiori risorse, ma degli autori di minacce che irrompono attraverso porte sconosciute lasciate aperte sull’Internet pubblica o credenziali deboli o compromesse.
"Una rete che è impreparata e indifendibile, ma da un'organizzazione che fa del suo meglio ma che è cronicamente con risorse e fondi insufficienti per proteggersi... è una confluenza di [più avversari]" che insegue le reti ICS e il fallimento di queste reti nel attuare le pratiche di sicurezza più elementari, afferma Caltagirone.
Una volta trovata la porta socchiusa, o sbloccata, spesso riescono a farsi strada attraverso la rete e "possono premere i pulsanti", afferma.
Dragos all'inizio di quest'anno pubblicato la sua relazione annuale sulle tendenze delle minacce e degli attacchi ICS osservati dai suoi ricercatori e dagli operatori di risposta agli incidenti: in tutti i casi di risposta agli incidenti su cui ha lavorato, gli aggressori hanno ottenuto l'accesso alla rete ICS della vittima tramite Internet e le credenziali IT e OT condivise sono state utilizzate per spostarsi lateralmente nella rete.
I ricercatori di Mandiant hanno scoperto che i compromessi poco sofisticati in genere sfruttano servizi di accesso remoto, comprese le connessioni di rete virtuale che non sono protette adeguatamente. Gli HMI, in genere dotati di interfacce grafiche intuitive, offrono a un hacker OT inesperto una visione pratica dei processi industriali. In un incidente osservato dal team, un aggressore ha condiviso immagini e video (in olandese) della sua manomissione di un sistema di controllo della temperatura a cui aveva avuto accesso; si era vantato di aver violato dozzine di sistemi di controllo in Nord America, Europa e Asia orientale.
Alcuni degli autori delle minacce osservati da Mandiant sembrano essere hacktivisti. Le reti OT israeliane sono state spesso trovate come vittime nei post che hanno visto, tra cui un'azienda di energia solare e un registratore di dati per l'esplorazione mineraria e la sorveglianza di dighe. Un incidente ha riguardato l'accesso al sistema di automazione degli edifici in una delle principali catene alberghiere internazionali in Australia.
Ma hanno anche visto alcuni casi di autori di minacce "verdi" che non sapevano cosa avevano compromesso: un gruppo ha erroneamente affermato di aver violato un sistema di controllo ferroviario in lingua tedesca, ma lo screenshot pubblicato era in realtà l'interfaccia Web di un modello di treno, hanno scoperto i ricercatori. Altri aggressori si sono vantati di aver compromesso un sistema di gas israeliano come rappresaglia per l'attacco recente esplosione in una struttura missilistica iraniana, ma il video ha rivelato che avevano effettivamente violato il sistema di ventilazione della cucina di un ristorante israeliano.
Gli aggressori che affermavano di aver violato un sistema di gas israeliano avevano in realtà compromesso il sistema di ventilazione della cucina di questo ristorante israeliano. Fonte: Mandiant
Regolamenti della pipeline all'orizzonte
Il governo federale degli Stati Uniti, nel frattempo, sta per raddoppiare gli sforzi per proteggere le infrastrutture critiche con alcune nuove regole.
Il Washington Post riportato oggi che il Dipartimento americano per la sicurezza interna (DHS) sta portando avanti per la prima volta un piano per regolamentare la sicurezza informatica per il settore degli oleodotti in seguito all’attacco ransomware contro Colonial Pipeline. L'azienda ha interrotto la sua pipeline per 11 giorni questo mese in risposta all'attacco ransomware ai suoi sistemi IT pagando agli aggressori 4.4 milioni di dollari per decrittografare i suoi sistemi bloccati. La chiusura del Colonial Pipeline ha portato a carenze di benzina in alcune aree, nonché ad acquisti dettati dal panico in alcune parti del sud-est degli Stati Uniti. IL L'FBI ha collegato gruppo ransomware-as-a-service (RaaS) DarkSide all'attacco.
Si prevede che questa settimana la Transportation Security Administration (TSA) del DHS emetterà una direttiva sulla sicurezza che impone alle società di gasdotti di denunciare gli attacchi informatici ai federali e di valutare e correggere le loro posizioni di sicurezza, secondo il rapporto del Washington Post.
L’attacco ransomware Colonial Pipeline ha fornito un indizio su come potrebbe verificarsi un’interruzione delle infrastrutture critiche, e altre minacce ransomware si profilano all’orizzonte per i servizi di pubblica utilità. Secondo i ricercatori di Kaspersky, una famiglia di ransomware in rapida evoluzione chiamata JSWorm sembra ora prendere di mira le organizzazioni con infrastrutture critiche in tutto il mondo. Circa il 41% degli attacchi JSWorm ha colpito aziende di ingegneria e manifatturiere, seguite da energia e servizi di pubblica utilità (10%), finanza (10%), servizi professionali e al consumo (10%), trasporti (7%) e sanità (7%).
La banda JSWorm in due anni ha creato più di otto volti diversi del suo malware, precedentemente conosciuto con le varianti Nemty, Milihpen e Gangbang. Il gruppo dietro di esso, inizialmente operante secondo un modello di ransomware-as-a-service, l'anno scorso ha interrotto l'operazione e ha lanciato campagne mirate contro obiettivi di alto profilo, chiedendo ingenti pagamenti di riscatto. i ricercatori hanno trovato.
Difesa OT
Mantenere i sistemi OT lontani dall’Internet pubblica è fondamentale: Mandiant consiglia bloccando l'accesso remoto, monitorando il traffico per qualsiasi attività dannosa e disabilitando qualsiasi rete o altri servizi non in uso, nonché modificando le credenziali predefinite, inserendo nella whitelist l'accesso e rivedendo il dispositivo e altre configurazioni di sistema. I sistemi HMI e ICS dovrebbero essere impostati per applicare intervalli specifici di input in modo tale da prevenire risultati fisici pericolosi, e le organizzazioni dovrebbero garantire che nessuna delle loro apparecchiature sia “rilevabile” dagli strumenti Shodan e Censys, consiglia Mandiant nel suo rapporto.
- "
- 11
- 2020
- accesso
- Tutti
- America
- .
- Applicazioni
- in giro
- Asia
- attacchi
- Australia
- Automazione
- MIGLIORE
- violazione
- Costruzione
- Responsabile Campagne
- casi
- lotta
- Città
- Uncommon
- Aziende
- azienda
- Connessioni
- Consumer
- Credenziali
- Infrastruttura critica
- Cyber
- attacchi informatici
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- DHS
- DID
- scoperto
- Rottura
- Olandese
- energia
- Ingegneria
- usate
- Europa
- eventi
- Sfruttare
- esplorazione
- Faccia
- facce
- Fallimento
- famiglia
- Federale
- Governo federale
- finanziare
- Impresa
- Nome
- prima volta
- Florida
- Avanti
- banda
- GAS
- Enti Pubblici
- Green
- Gruppo
- degli hacker
- hacker
- hack
- a portata di mano
- assistenza sanitaria
- Casa
- Sicurezza domestica
- Homeland Security
- Hotel
- Come
- Tutorial
- HTTPS
- ICS
- risposta agli incidenti
- Compreso
- industriale
- industria
- Infrastruttura
- Intelligence
- Internazionale
- Internet
- coinvolto
- israeliano
- IT
- Kaspersky
- Le
- conoscenze
- grandi
- Guidato
- Livello
- località
- telaio
- maggiore
- il malware
- consigliato per la
- milione
- Siti di estrazione mineraria
- modello
- monitoraggio
- cambiano
- Rete
- reti
- Nord
- America del Nord
- aprire
- operativo
- Altro
- pagamenti
- Perno
- veleno
- porte
- Post
- Presidente
- protegge
- la percezione
- A binario
- Ransom
- ransomware
- Attacco ransomware
- RE
- accesso remoto
- rapporto
- riparazioni
- risposta
- al Deck ristorante
- norme
- problemi di
- sistemi di sicurezza
- vede
- Servizi
- set
- condiviso
- la carenza di
- chiusura
- So
- solare
- energia solare
- sorveglianza
- sistema
- SISTEMI DI TRATTAMENTO
- tattica
- Il Washington Post
- attori della minaccia
- intelligenza delle minacce
- minacce
- tempo
- traffico
- trasporti
- Transportation Security Administration
- trattamento
- tendenze
- esercitazioni
- us
- utilità
- Vicepresidente
- Video
- Video
- Visualizza
- virtuale
- Washington
- Water
- Wave
- sito web
- settimana
- OMS
- anno
- anni
