El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y su socio estadounidense, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), han emitido una advertencia sobre la evolución de la amenaza de los actores hacktivistas respaldados por Rusia que apuntan a la infraestructura nacional crítica (CNI), después de que varias empresas de servicios públicos estadounidenses fueron atacados. El NCSC ha advertido anteriormente sobre el crecimiento de la actividad mercenaria por parte de grupos que apoyan a Rusia que actúan por motivos ideológicos; estos no son necesariamente los grupos de amenaza que se regocijan con nombres como Cozy Bear, que cuentan con el respaldo oficial del Kremlin, sino más bien grupos técnicamente menos sofisticados que actúan de por voluntad propia. A principios de 2024, se ha observado que estos grupos atacan sistemas de control industrial vulnerables y de pequeña escala tanto en Europa como en América del Norte, y esto ha resultado en algunas perturbaciones físicas en Estados Unidos. Específicamente, varias víctimas de sistemas de agua y aguas residuales estadounidenses vieron cómo bombas de agua y equipos de soplado excedían brevemente sus parámetros operativos, y algunas experimentaron eventos de desbordamiento de tanques, después de que sus interfaces hombre-máquina (HMI) fueran pirateadas. En estos ataques, los hacktivistas maximizaron los puntos de ajuste, alteraron otras configuraciones, apagaron alarmas y alertas y cambiaron las contraseñas de administrador para bloquear a los operadores. Utilizaron una variedad de técnicas para obtener acceso al sistema, principalmente explotando varios elementos del protocolo de computación en red virtual (VNC). «Continúa habiendo una mayor amenaza por parte de actores alineados con el Estado a los operadores de tecnología operativa (OT)», dijo el NCSC. «El NCSC insta a todos los propietarios y operadores de OT, incluidos los proveedores de servicios esenciales del Reino Unido, a seguir ahora los consejos de mitigación recomendados para reforzar sus defensas». Los grupos hacktivistas o mercenarios pueden no ser sofisticados en el alcance de sus ciberataques, pero se les considera particularmente peligrosos porque no están sujetos a la supervisión directa de las agencias de inteligencia rusas, por lo que sus acciones pueden ser menos limitadas, sus objetivos más amplios y su impacto más amplio. disruptivo y menos predecible. Sus ataques generalmente se han centrado en ataques distribuidos de denegación de servicio, desfiguración de sitios web y desinformación, pero muchos grupos ahora afirman abiertamente que quieren ir más allá y lograr un impacto más disruptivo, incluso destructivo, en las organizaciones del CNI. «Esperamos que estos grupos busquen oportunidades para crear tal impacto, particularmente si los sistemas están mal protegidos», dijo el NCSC. “Sin ayuda externa, consideramos poco probable que estos grupos tengan la capacidad de causar deliberadamente un impacto destructivo, en lugar de perturbador, en el corto plazo. Pero pueden volverse más efectivos con el tiempo, por lo que el NCSC recomienda que las organizaciones actúen ahora para gestionar el riesgo contra futuros ataques exitosos”. Próximos pasos para los defensores El NCSC recomienda a los operadores de CNI que actualicen sus posturas de seguridad cibernética de inmediato, en particular siguiendo sus consejos sobre administración segura de sistemas. También ha resurgido sus directrices del Marco de Evaluación Cibernética para ayudar a las empresas de servicios públicos y a otros a identificar mejor las áreas de mejora. En EE. UU., CISA también ha publicado directrices sobre cómo defender la tecnología operativa de los hacktivistas. Como paso inmediato, los operadores de CNI deberían reforzar el acceso remoto a sus HMI, desconectándolos de la Internet pública e implementando firewalls de próxima generación y/o redes privadas virtuales si el acceso remoto es realmente necesario, fortaleciendo las credenciales y las políticas de acceso, manteniendo VNC. actualizado y estableciendo una lista de permitidos para permitir que solo la dirección IP del dispositivo autorizado acceda a los sistemas.