El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y otras autoridades cibernéticas internacionales, incluida la Oficina Federal de Investigaciones (FBI), han advertido sobre ataques hacktivistas prorrusos dirigidos a proveedores de tecnología operativa. OT es hardware y software que interactúa con el entorno físico e incluye medidores de agua inteligentes, sistemas de riego automatizados, sistemas de monitoreo de presas, redes inteligentes y sensores de IoT para agricultura de precisión. En la alerta publicada el 1 de mayo, las autoridades cibernéticas brindan asesoramiento a los proveedores de OT a la luz de la “actividad cibernética maliciosa continua” entre 2022 y abril de 2024. Los organismos autores han observado intentos de comprometer sistemas OT a pequeña escala que brindan infraestructura crítica en el Norte. América y Europa. Los sectores objetivo incluyen sistemas de agua y aguas residuales, represas, energía y alimentación y agricultura. Otros organismos que contribuyeron a la alerta incluyen; Agencia de Seguridad Nacional (NSA). Agencia de Protección Ambiental (EPA). Departamento de Energía (DOE). Departamento de Agricultura de los Estados Unidos (USDA). Administración de Alimentos y Medicamentos (FDA). Centro de análisis e intercambio de información multiestatal (MS-ISAC). Centro Canadiense de Seguridad Cibernética (CCCS). «Este año hemos observado que los hacktivistas prorrusos amplían sus objetivos para incluir los vulnerables sistemas de control industrial de América del Norte y Europa», dijo Dave Luber, director de ciberseguridad de la NSA, en un comunicado de prensa. «La NSA recomienda encarecidamente que los administradores de OT de las organizaciones de infraestructura crítica implementen las mitigaciones descritas en este informe, especialmente cambiando las contraseñas predeterminadas, para mejorar su postura de ciberseguridad y reducir la vulnerabilidad de su sistema a este tipo de ataques». VER: CISA apunta a una seguridad de software de código abierto más sólida para el gobierno y las infraestructuras críticas Los hacktivistas solo crean «efectos molestos» después de acceder a dispositivos OT Los hacktivistas prorrusos explotan tanto el software de acceso remoto de computación en red virtual como las contraseñas predeterminadas para acceder a los componentes de software de Internet. sistemas de control industrial expuestos asociados con dispositivos OT. Una vez que el ICS se ve comprometido, en gran medida sólo crean “efectos molestos”. Por ejemplo, algunas víctimas del WWS radicadas en EE. UU. informaron que se les había alterado la configuración de sus bombas de agua y sopladores para “exceder sus parámetros operativos normales”, lo que en ocasiones resultó en “eventos menores de desbordamiento del tanque”. Los hacktivistas también desactivaron los mecanismos de alarma y cambiaron las contraseñas administrativas para bloquear a los operadores del WWS. Si bien la mayoría de las víctimas pudieron recuperar rápidamente el control y restablecer las operaciones, a las autoridades les preocupa que los hacktivistas «sean capaces de utilizar técnicas que plantean amenazas físicas contra entornos OT inseguros y mal configurados». De hecho, a pesar de los impactos limitados de estos ataques, el aviso señala que los hacktivistas prorrusos tienden a “exagerar sus capacidades e impactos sobre los objetivos”. Esto tiene como objetivo ayudar a generar miedo e incertidumbre en torno a la solidez de la infraestructura crítica y amplificar su poder percibido. VER: Un estudio revela los activos conectados y la IoT más vulnerables ¿Cómo acceden los hacktivistas prorrusos a los sistemas OT? La alerta decía que los hacktivistas pretenden en gran medida obtener acceso remoto a la interfaz hombre-máquina asociada con el ICS del dispositivo OT y luego usarlo para controlar su salida. Utilizan una variedad de técnicas para hacerlo, que incluyen; Utilizando el protocolo VNC para acceder a las HMI. Aprovechar el protocolo VNC Remote Frame Buffer para iniciar sesión en HMI. Aprovechar VNC sobre el puerto 5900 para acceder a HMI; y luego iniciar sesión en la HMI con cuentas que tienen credenciales predeterminadas de fábrica o contraseñas débiles y no están protegidas por autenticación multifactor. Agregaron que varias de las HMI comprometidas eran «dispositivos heredados no compatibles fabricados en el extranjero y renombrados como dispositivos estadounidenses». VER: Tenable: Los profesionales de la seguridad cibernética deberían preocuparse por los ataques cibernéticos patrocinados por el estado Jake Moore, asesor global de ciberseguridad de la empresa antivirus y de seguridad de Internet ESET, dijo a TechRepublic en un correo electrónico: “Aunque no siempre ni del todo maliciosos, los hacktivistas resaltarán áreas de preocupación que deben abordarse mientras hacen ruido político o social para que se escuche su mensaje: “Limitados a técnicas poco sofisticadas para atacar (infraestructura crítica), los ataques a estos controles aumentan naturalmente el nivel de amenaza y muestran lo que es necesario abordar”. Cobertura de seguridad de lectura obligada ¿Qué hacktivistas prorrusos fueron responsables de los ataques a los sistemas OT? Si bien el informe no nombra explícitamente a ningún actor de amenazas identificado como responsable de estos ataques, en enero, un grupo hacktivista pro-Rusia llamado Cyber ​​Army of Russia publicó un video que parece mostrarlos manipulando configuraciones en una organización de suministro de agua en Muleshoe. Texas, provocando un desbordamiento. Un incidente similar ocurrió en abril en Indiana y fue reivindicado por el mismo grupo. Desde entonces, la empresa de seguridad cibernética Mandiant, propiedad de Google, vinculó en un informe al Ejército Cibernético de Rusia con la notoria unidad de piratería rusa Sandworm. Añadió que también se han informado casos de explotación de OT en Polonia y Francia. VER: Sandworm, un actor de amenazas ruso, interrumpió el poder en Ucrania a través de un ciberataque Según The Record, Eric Goldstein, subdirector ejecutivo de ciberseguridad de CISA, dijo en una rueda de prensa el miércoles: “Los grupos hacktivistas rusos han declarado públicamente su intención de emprender este tipo de actividades para reflejar su apoyo al régimen ruso”. Sin embargo, Goldstein aclaró que el gobierno federal “no está evaluando una conexión” entre la reciente actividad maliciosa y Sandworm. ¿Qué consejos han dado las autoridades de ciberseguridad? Los autores de la hoja informativa consolidan consejos dirigidos a usuarios y fabricantes de dispositivos OT para proteger sus sistemas de los atacantes. Usuarios de dispositivos OT Desconecte todas las HMI, como pantallas táctiles y controladores lógicos programables, de la Internet pública. Si es necesario el acceso remoto, utilice un firewall y/o una red privada virtual con una contraseña segura y autenticación multifactor. Implementar MFA para todos los accesos a la red OT. Cambie inmediatamente todas las contraseñas predeterminadas y débiles en las HMI y utilice una contraseña segura y única. Mantenga el VNC actualizado con la última versión disponible y asegúrese de que todos los sistemas y software estén actualizados con parches y actualizaciones de seguridad necesarias. Establezca una lista de permitidos que permita solo direcciones IP de dispositivos autorizadas y habilite alertas para monitorear los intentos de acceso. Registre inicios de sesión remotos en HMI y tome nota de cualquier intento fallido y momentos inusuales. Practicar y mantener la capacidad de operar sistemas manualmente. Cree copias de seguridad de la lógica de ingeniería, las configuraciones y el firmware de las HMI para permitir una recuperación rápida. Familiarice a su organización con los restablecimientos de fábrica y la implementación de copias de seguridad. Verifique la integridad de la lógica de escalera del PLC u otros diagramas y lenguajes de programación del PLC y verifique si hay modificaciones no autorizadas para garantizar un funcionamiento correcto. Actualice y proteja los diagramas de red para reflejar las redes de TI y OT. Las personas solo deben tener acceso a los sistemas que necesitan para completar su trabajo, pero deben estar al tanto de todos los intentos de obtener o modificar la arquitectura de la red. Considere la posibilidad de utilizar técnicas de cifrado, autenticación y autorización para proteger los archivos de diagramas de red. Sea consciente de las posibles amenazas. Los adversarios pueden intentar obtener credenciales de red por diversos medios físicos, incluidas visitas oficiales, conversaciones en ferias y conferencias y a través de las redes sociales. Haga un inventario y reemplace las HMI al final de su vida útil tan pronto como sea posible. Implementar límites de software y hardware a la manipulación de procesos físicos, por ejemplo, mediante el uso de enclavamientos operativos, sistemas de seguridad ciberfísicos e ingeniería cibernética. Las organizaciones del Reino Unido pueden reducir su exposición al riesgo utilizando el servicio gratuito de Alerta Temprana del NCSC. Fabricantes de dispositivos OT Eliminan las contraseñas predeterminadas y exigen contraseñas seguras. El uso de credenciales predeterminadas es una de las principales debilidades que los actores de amenazas aprovechan para obtener acceso a los sistemas. Exija autenticación multifactor para usuarios privilegiados que puedan realizar cambios en la lógica o las configuraciones de ingeniería. Incluya el registro sin cargo adicional para que los usuarios puedan realizar un seguimiento de los eventos que afectan la seguridad en su infraestructura crítica. Publique listas de materiales de software para que los usuarios puedan medir y mitigar el impacto que tiene una vulnerabilidad en sus sistemas existentes. ¿Por qué los hacktivistas apuntan a los dispositivos OT utilizados en infraestructuras críticas? Moore dijo a TechRepublic: “La infraestructura nacional crítica ha sido un área de particular interés para los atacantes prorrusos desde que estalló la guerra (en Ucrania). Las operaciones de OT también han sido (mantenidas) en alta estima (ya que) hacen el mayor ruido políticamente. «Incluso me atrevería a decir que tanto los hacktivistas como los actores de amenazas rusos han estado apuntando continuamente a estos sistemas, pero el peso de sus ataques finalmente se está sumando a nuevos niveles de presión». Poner en peligro la infraestructura nacional crítica puede provocar una interrupción generalizada, lo que la convierte en un objetivo principal para el ransomware. El NCSC declaró que es “muy probable” que la amenaza cibernética al CNI del Reino Unido aumente en 2023, en parte debido a su dependencia de tecnología heredada. Las organizaciones que manejan infraestructura crítica son bien conocidas por albergar dispositivos heredados, ya que es difícil y costoso reemplazar la tecnología mientras se mantienen las operaciones normales. La evidencia de Thales presentada para un informe del gobierno del Reino Unido sobre la amenaza del ransomware a la seguridad nacional decía: «no es raro dentro del sector CNI encontrar sistemas obsoletos con una larga vida operativa que no se actualizan, monitorean o evalúan de manera rutinaria». Otra evidencia de NCC Group decía que «es mucho más probable que los sistemas OT incluyan componentes que tienen entre 20 y 30 años y/o utilicen software más antiguo que es menos seguro y ya no es compatible». En Estados Unidos, la Casa Blanca está haciendo esfuerzos activos para reducir el riesgo de ataques cibernéticos a su infraestructura crítica. El martes, el presidente Joe Biden firmó un Memorando de Seguridad Nacional que tiene como objetivo promover la “unidad nacional de esfuerzo del país para fortalecer y mantener una infraestructura crítica segura, funcional y resiliente”. Aclara las funciones del gobierno federal para garantizar su seguridad, establece requisitos mínimos de seguridad, describe la priorización basada en riesgos y apunta a mejorar la recopilación y el intercambio de inteligencia. Esto es en respuesta a una serie de ataques cibernéticos dirigidos a infraestructuras críticas en Estados Unidos, no solo por parte de grupos vinculados a Rusia. Por ejemplo, en febrero de 2024 se publicó un aviso advirtiendo contra los piratas informáticos respaldados por el estado chino que se infiltran en las instalaciones de agua y otras infraestructuras críticas de Estados Unidos. En marzo de 2024, el asesor de seguridad nacional Jake Sullivan y Michael Regan escribieron una carta a las autoridades del agua pidiéndoles que invirtieran en fortalecer la postura de seguridad cibernética a la luz de los ataques.