Os agentes de ameaças desenvolveram módulos personalizados para comprometer vários dispositivos ICS, bem como estações de trabalho Windows que representam uma ameaça iminente, principalmente para fornecedores de energia.
Os agentes de ameaças construíram e estão prontos para implantar ferramentas que podem assumir vários dispositivos de sistema de controle industrial (ICS) amplamente usados, o que significa problemas para os provedores de infraestrutura crítica, principalmente aqueles no setor de energia, alertaram agências federais.
In uma assessoria conjunta, o Departamento de Energia (DoE), a Agência de Segurança Cibernética e Infraestrutura (CISA), a Agência de Segurança Nacional (NSA) e o FBI alertam que “certos atores de ameaças persistentes avançadas (APT)” já demonstraram a capacidade “de obter total acesso do sistema a vários dispositivos do sistema de controle industrial (ICS)/controle de supervisão e aquisição de dados (SCADA)”, de acordo com o alerta.
As ferramentas personalizadas desenvolvidas pelos APTs permitem que eles – uma vez que tenham acesso à rede de tecnologia operacional (OT) – procurem, comprometam e controlem os dispositivos afetados, de acordo com as agências. Isso pode levar a uma série de ações nefastas, incluindo a elevação de privilégios, movimento lateral dentro de um ambiente OT e a interrupção de dispositivos ou funções críticas, disseram eles.
Os dispositivos em risco são: Schneider Electric MODICON e MODICON Nano controladores lógicos programáveis (PLCs), incluindo (mas não se limitando a) TM251, TM241, M258, M238, LMC058 e LMC078; CLPs OMRON Sysmac NEX; e servidores Open Platform Communications Unified Architecture (OPC UA), disseram as agências.
Os APTs também podem comprometer estações de trabalho de engenharia baseadas em Windows que estão presentes em ambientes de TI ou OT usando um exploit para uma vulnerabilidade conhecida em um ASRock motherboard motorista, eles disseram.
Aviso deve ser ouvido
Embora as agências federais frequentemente divulguem alertas sobre ameaças cibernéticas, um profissional de segurança pediu fornecedores de infraestrutura crítica para não levar este aviso em particular de ânimo leve.
“Não se engane, este é um alerta importante da CISA”, observou Tim Erlin, vice-presidente de estratégia da Tripwire, em um e-mail para o Threatpost. “As organizações industriais devem prestar atenção a essa ameaça.”
Ele observou que, embora o alerta em si se concentre em ferramentas para obter acesso a dispositivos ICS específicos, o quadro geral é que todo o ambiente de controle industrial está em risco quando um agente de ameaça ganha uma posição.
“Os invasores precisam de um ponto inicial de comprometimento para obter acesso aos sistemas de controle industrial envolvidos, e as organizações devem construir suas defesas de acordo”, aconselhou Erlin.
Conjunto de ferramentas modulares
As agências forneceram um detalhamento das ferramentas modulares desenvolvidas pelos APTs que permitem que eles conduzam “exploits altamente automatizados contra dispositivos direcionados”, disseram eles.
Eles descreveram as ferramentas como tendo um console virtual com uma interface de comando que espelha a interface do dispositivo ICS/SCADA alvo. Os módulos interagem com dispositivos direcionados, dando aos agentes de ameaças ainda menos qualificados a capacidade de emular recursos mais qualificados, alertaram as agências.
As ações que os APTs podem realizar usando os módulos incluem: escanear dispositivos direcionados, realizar reconhecimento nos detalhes do dispositivo, carregar configuração/código malicioso no dispositivo direcionado, fazer backup ou restaurar o conteúdo do dispositivo e modificar os parâmetros do dispositivo.
Além disso, os atores do APT podem usar uma ferramenta que instala e explora uma vulnerabilidade no driver da placa-mãe ASRock AsrDrv103.sys rastreado como CVE-2020-15368. A falha permite a execução de código malicioso no kernel do Windows, facilitando a movimentação lateral de um ambiente de TI ou OT, bem como a interrupção de dispositivos ou funções críticas.
Segmentação de dispositivos específicos
Os atores também possuem módulos específicos para atacar os outros Dispositivos ICS. O módulo para Schneider Electric interage com os dispositivos através de protocolos de gerenciamento normais e Modbus (TCP 502).
Este módulo pode permitir que os atores executem várias ações maliciosas, incluindo executar uma varredura rápida para identificar todos os PLCs da Schneider na rede local; senhas de PLC de força bruta; co-condução de um ataque de negação de serviço (DoS) para bloquear o PLC de receber comunicações de rede; ou realizar um ataque “pacote da morte” para travar o PLC, entre outros, de acordo com o comunicado.
Outros módulos na ferramenta APT têm como alvo os dispositivos OMRON e podem escaneá-los na rede, além de executar outras funções comprometedoras, disseram as agências.
Além disso, os módulos OMRON podem carregar um agente que permite que um agente de ameaças se conecte e inicie comandos – como manipulação de arquivos, capturas de pacotes e execução de código – via HTTP e/ou Hypertext Transfer Protocol Secure (HTTPS), de acordo com o alerta.
Finalmente, um módulo que permite o comprometimento de dispositivos OPC UA inclui funcionalidade básica para identificar servidores OPC UA e conectar-se a um servidor OPC UA usando credenciais padrão ou comprometidas anteriormente, alertaram as agências.
Mitigações recomendadas
As agências ofereceram uma extensa lista de mitigações para provedores de infraestrutura crítica para evitar o comprometimento de seus sistemas pelas ferramentas APT.
“Isso não é tão simples quanto aplicar um patch”, observou Erwin da Tripwire. Da lista, ele citou o isolamento de sistemas afetados; empregando detecção de endpoint, configuração e monitoramento de integridade; e análise de logs como ações-chave que as organizações devem tomar imediatamente para proteger seus sistemas.
Os federais também recomendaram que os provedores de infraestrutura crítica tenham um plano de resposta a incidentes cibernéticos que todas as partes interessadas em TI, segurança cibernética e operações conheçam e possam implementar rapidamente, se necessário, além de manter backups offline válidos para recuperação mais rápida em caso de ataque disruptivo, entre outras mitigações. .
Mudar para a nuvem? Descubra ameaças emergentes de segurança na nuvem juntamente com conselhos sólidos sobre como defender seus ativos com nosso e-book para download GRATUITO, “Segurança na Nuvem: A Previsão para 2022”. Exploramos os principais riscos e desafios das organizações, as melhores práticas de defesa e conselhos para o sucesso da segurança em um ambiente de computação tão dinâmico, incluindo listas de verificação úteis.
- blockchain
- Coingenius
- Infraestrutura crítica
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
- zefirnet
