Actorii amenințărilor au dezvoltat module personalizate pentru a compromite diverse dispozitive ICS, precum și stații de lucru Windows care reprezintă o amenințare iminentă, în special pentru furnizorii de energie.
Actorii amenințărilor au construit și sunt gata să implementeze instrumente care pot prelua o serie de dispozitive de sistem de control industrial (ICS) utilizate pe scară largă, ceea ce provoacă probleme furnizorilor de infrastructură critică, în special celor din sectorul energetic, au avertizat agențiile federale.
In un aviz comun, Departamentul de Energie (DoE), Agenția pentru Securitate Cibernetică și Infrastructură (CISA), Agenția Națională de Securitate (NSA) și FBI avertizează că „anumiți actori de amenințări persistente avansate (APT)” au demonstrat deja capacitatea „de a obține pe deplin accesul sistemului la mai multe sisteme de control industrial (ICS)/dispozitive de control de supraveghere și achiziție de date (SCADA)”, potrivit alertei.
Instrumentele personalizate dezvoltate de APT le permit – odată ce au acces la rețeaua de tehnologie operațională (OT) – să scaneze, să compromită și să controleze dispozitivele afectate, potrivit agențiilor. Acest lucru poate duce la o serie de acțiuni nefaste, inclusiv creșterea privilegiilor, mișcarea laterală într-un mediu OT și întreruperea dispozitivelor sau funcțiilor critice, au spus ei.
Dispozitivele expuse riscului sunt: Schneider Electric MODICON și MODICON Nano controlere logice programabile (PLC), inclusiv (dar nu se pot limita la) TM251, TM241, M258, M238, LMC058 și LMC078; PLC-uri OMRON Sysmac NEX; și servere Open Platform Communications Unified Architecture (OPC UA), au spus agențiile.
De asemenea, APT-urile pot compromite stațiile de lucru de inginerie bazate pe Windows care sunt prezente în mediile IT sau OT folosind un exploit pentru o vulnerabilitate cunoscută într-un ASRock Plăci de bază șofer, au spus ei.
Avertismentul trebuie luat în considerare
Deși agențiile federale pun adesea aviz cu privire la amenințările cibernetice, un profesionist în securitate a îndemnat furnizorii de infrastructură critică pentru a nu lua cu ușurință acest avertisment special.
„Nu vă înșelați, aceasta este o alertă importantă din partea CISA”, a observat Tim Erlin, vicepreședinte de strategie la Tripwire, într-un e-mail către Threatpost. „Organizațiile industriale ar trebui să acorde atenție acestei amenințări.”
El a remarcat că, în timp ce alerta în sine se concentrează pe instrumente pentru obținerea accesului la anumite dispozitive ICS, imaginea de ansamblu este că întregul mediu de control industrial este în pericol odată ce un actor amenințător își ia locul.
„Atacatorii au nevoie de un punct inițial de compromis pentru a obține acces la sistemele de control industrial implicate, iar organizațiile ar trebui să-și construiască apărarea în consecință”, a sfătuit Erlin.
Set de instrumente modulare
Agențiile au furnizat o defalcare a instrumentelor modulare dezvoltate de APT, care le permit să efectueze „exploatări extrem de automatizate împotriva dispozitivelor vizate”, au spus ei.
Ei au descris instrumentele ca având o consolă virtuală cu o interfață de comandă care reflectă interfața dispozitivului ICS/SCADA vizat. Modulele interacționează cu dispozitivele vizate, oferind chiar și actorilor cu amenințări mai puțin calificați capacitatea de a emula capacități cu calificare superioară, au avertizat agențiile.
Acțiunile pe care APT-urile le pot întreprinde folosind modulele includ: scanarea dispozitivelor vizate, efectuarea de recunoașteri asupra detaliilor dispozitivului, încărcarea configurației/codului rău intenționat pe dispozitivul vizat, copierea de rezervă sau restaurarea conținutului dispozitivului și modificarea parametrilor dispozitivului.
În plus, actorii APT pot folosi un instrument care instalează și exploatează o vulnerabilitate în driverul plăcii de bază ASRock AsrDrv103.sys urmărit ca CVE-2020-15368. Defectul permite execuția de cod rău intenționat în nucleul Windows, facilitând mișcarea laterală într-un mediu IT sau OT, precum și întreruperea dispozitivelor sau funcțiilor critice.
Direcționarea anumitor dispozitive
Actorii au, de asemenea, module specifice pentru a ataca pe celălalt dispozitive ICS. Modulul pentru Schneider Electric interacționează cu dispozitivele prin protocoale de management normale și Modbus (TCP 502).
Acest modul poate permite actorilor să efectueze diverse acțiuni rău intenționate, inclusiv rularea unei scanări rapide pentru a identifica toate PLC-urile Schneider din rețeaua locală; parole PLC cu forțare brută; conducerea unui atac de refuzare a serviciului (DoS) pentru a bloca PLC-ul să primească comunicații de rețea; sau efectuarea unui atac „pachet de moarte” pentru a prăbuși PLC, printre altele, potrivit avizului.
Alte module din instrumentul APT vizează dispozitivele OMRON și le pot scana în rețea și pot îndeplini alte funcții compromițătoare, au spus agențiile.
În plus, modulele OMRON pot încărca un agent care permite unui actor de amenințare să se conecteze și să inițieze comenzi - cum ar fi manipularea fișierelor, captarea pachetelor și executarea codului - prin HTTP și/sau Hypertext Transfer Protocol Secure (HTTPS), conform alertei.
În cele din urmă, un modul care permite compromiterea dispozitivelor OPC UA include funcționalități de bază pentru a identifica serverele OPC UA și pentru a se conecta la un server OPC UA folosind acreditările implicite sau compromise anterior, au avertizat agențiile.
Atenuări recomandate
Agențiile au oferit o listă extinsă de atenuări pentru furnizorii de infrastructură critică pentru a evita compromiterea sistemelor lor de către instrumentele APT.
„Acest lucru nu este la fel de simplu ca aplicarea unui plasture”, a remarcat Erwin de la Tripwire. Din listă, el a citat izolarea sistemelor afectate; utilizând detectarea punctelor finale, configurarea și monitorizarea integrității; și analiza jurnalelor ca acțiuni cheie pe care organizațiile ar trebui să le ia imediat pentru a-și proteja sistemele.
Federalii au recomandat, de asemenea, ca furnizorii de infrastructură critică să aibă un plan de răspuns la incidente cibernetice pe care toți părțile interesate din IT, securitate cibernetică și operațiuni îl cunosc și îl pot implementa rapid dacă este necesar, precum și să mențină backup-uri offline valide pentru o recuperare mai rapidă la un atac perturbator, printre alte atenuări. .
Te muți în nor? Descoperiți amenințările emergente de securitate în cloud, împreună cu sfaturi solide despre cum să vă apărați activele cu ajutorul nostru Carte electronică descărcabilă GRATUIT, „Securitate în cloud: prognoza pentru 2022”. Explorăm principalele riscuri și provocări ale organizațiilor, cele mai bune practici pentru apărare și sfaturi pentru succesul securității într-un mediu de calcul atât de dinamic, inclusiv liste de verificare la îndemână.
- blockchain
- coingenius
- Infrastructura critică
- portofele de criptare
- criptoschimb
- securitate cibernetică
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
- zephyrnet
