A Microsoft ressaltou a importância de proteger dispositivos de tecnologia operacional (OT) conectados à Internet, após uma série de ataques cibernéticos direcionados a esses ambientes desde o final de 2023.
"Esses repetidos ataques contra dispositivos OT levantam a urgente necessidade de melhorar a segurança desses dispositivos e impedir que sistemas críticos se tornem alvos fáceis", afirmou a equipe do Microsoft Threat Intelligence.
A empresa alertou que um ataque cibernético a um sistema OT pode permitir que hackers manipulem parâmetros críticos usados em processos industriais, seja por meio do controlador lógico programável (PLC) ou dos controles gráficos da interface homem-máquina (HMI), resultando em mau funcionamento e interrupções do sistema.
A Microsoft também apontou que os sistemas OT carecem frequentemente de mecanismos de segurança adequados, tornando-os vulneráveis a explorações e ataques que são "relativamente fáceis de executar", agravados pela conexão direta desses dispositivos à Internet.
Isso não apenas torna os dispositivos detectáveis por invasores por meio de ferramentas de varredura da Internet, mas também facilita o acesso inicial por meio de senhas fracas ou software desatualizado com vulnerabilidades conhecidas.
Na semana passada, a Rockwell Automation emitiu um comunicado insistiu seus clientes a desconectar todos os sistemas de controle industrial (ICS) que não precisam estar conectados à Internet pública, devido ao "aumento das tensões geopolíticas e da atividade cibernética adversária em todo o mundo".
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também lançou um boletim alertando sobre hacktivistas pró-Rússia que têm como alvo sistemas de controle industrial vulneráveis na América do Norte e na Europa.
"Especificamente, hacktivistas pró-Rússia manipularam HMIs, fazendo com que bombas de água e equipamentos sopradores excedessem seus parâmetros operacionais normais", disse a agência. "Em cada caso, os hacktivistas maximizaram os pontos de ajuste, alteraram outras configurações, desligaram mecanismos de alarme e mudaram senhas administrativas para bloquear os operadores do WWS".
A Microsoft acrescentou que o início da guerra Israel-Hamas em outubro de 2023 resultou em um aumento nos ataques cibernéticos contra ativos de OT mal protegidos e expostos à Internet, pertencentes a empresas israelenses, muitos conduzidos por grupos como Cyber Av3ngers, Soldados de Salomão e Abnaa Al-Saada, afiliados ao Irã.
Segundo a Microsoft, esses ataques destacaram equipamentos de OT implantados em diferentes setores em Israel, fabricados por fornecedores internacionais, bem como aqueles adquiridos de Israel e implantados em outros países.
Esses dispositivos OT são "principalmente sistemas expostos à Internet com segurança deficiente, potencialmente acompanhados por senhas fracas e vulnerabilidades conhecidas", acrescentou a Microsoft.
Para mitigar os riscos, a Microsoft recomenda que as organizações garantam a higiene da segurança dos seus sistemas OT, reduzindo especificamente a superfície de ataque e implementando práticas de Zero Trust para evitar movimentações laterais de atacantes em uma rede comprometida.
A situação ocorre enquanto a empresa de segurança OT Claroty revelou uma cepa de malware destrutiva chamada Fuxnet, supostamente usada pelo grupo de hackers ucraniano Blackjack, contra a Moscollector, uma empresa russa que monitora a água subterrânea e o esgoto de Moscou.
Blackjack, que compartilhou detalhes do ataque no início do mês passado, descreveu o Fuxnet como "Stuxnet com esteróides", com a Claroty observando que o malware foi provavelmente implantado remotamente nos gateways de sensores alvo usando protocolos como SSH ou o protocolo de sensor (SBK) pela porta 4321.
Fuxnet tem a capacidade de destruir irreversivelmente o sistema de arquivos, bloquear o acesso ao dispositivo e destruir fisicamente os chips de memória NAND, escrevendo e reescrevendo constantemente a memória até a tornar inoperante.
Além disso, foi projetado para reescrever o volume UBI, impedindo a reinicialização do sensor e, em última análise, corrompendo os próprios sensores, enviando uma enxurrada de mensagens falsas do Meter-Bus (M-Bus).
"Os invasores desenvolveram e implantaram malware que visava os gateways, excluindo sistemas de arquivos, diretórios, desativando serviços de acesso remoto e de roteamento para cada dispositivo, além de reescrever a memória flash, destruindo chips de memória NAND, volumes UBI e realizando outras ações que interromperam a operação desses gateways", relatou a Claroty.
De acordo com dados compartilhados pela empresa russa de segurança cibernética Kaspersky no início desta semana, a Internet, clients de e-mail e dispositivos de armazenamento removíveis surgiram como as principais fontes de ameaças aos computadores na infraestrutura de OT de uma organização no primeiro trimestre de 2024.
"Hackers usam scripts para uma variedade de objetivos: coletar informações, rastrear, redirecionar o navegador para um site malicioso e enviar vários tipos de malware (spyware e/ou ferramentas de mineração de criptomoedas) para o sistema ou navegador do usuário", afirmou a empresa. "Eles se espalham pela Internet e por e-mail".
Commentaires