Alerta da Microsoft
3 de Junho de 2024

A Microsoft enfatizou a necessidade de proteger os dispositivos de tecnologia operacional (OT) expostos à internet, após uma série de ataques cibernéticos direcionados a esses ambientes desde o final de 2023.

"Esses ataques repetidos contra dispositivos OT enfatizam a crucial necessidade de melhorar a postura de segurança dos dispositivos OT e impedir que sistemas críticos se tornem alvos fáceis", disse a equipe de Inteligência de Ameaças da Microsoft.

A empresa observou que um ataque cibernético a um sistema OT poderia permitir que atores maliciosos manipulassem parâmetros críticos usados ​​em processos industriais, seja programaticamente via controlador lógico programável (PLC) ou usando os controles gráficos da interface homem-máquina (HMI), resultando em mau funcionamento e interrupções do sistema.

Além disso, foi dito que os sistemas OT muitas vezes carecem de mecanismos de segurança adequados, tornando-os maduros para exploração por adversários e permitindo que executem ataques "relativamente fáceis de executar", um fato agravado pelos riscos adicionais introduzidos ao conectar diretamente dispositivos OT à internet.

Isso não apenas torna os dispositivos descobertos por atacantes através de ferramentas de varredura da internet, mas também pode ser armado para ganhar acesso inicial, aproveitando senhas fracas ou software desatualizado com vulnerabilidades conhecidas.

Na semana passada, a Rockwell Automation emitiu um aviso instando seus clientes a desconectar todos os sistemas de controle industrial (ICSs) que não devem estar conectados à internet pública, devido às "tensões geopolíticas elevadas e atividade cibernética adversarial globalmente".

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) também divulgou um boletim próprio alertando sobre hacktivistas pró-Rússia visando sistemas de controle industrial vulneráveis na América do Norte e Europa.

"Especificamente, hacktivistas pró-Rússia manipularam HMIs, fazendo com que bombas de água e equipamentos de sopradores excedessem seus parâmetros de operação normais", disse a agência.

Em cada caso, os hacktivistas aumentaram os pontos de ajuste, alteraram outras configurações, desligaram os mecanismos de alarme e mudaram senhas administrativas para bloquear os operadores de SSW.

A Microsoft acrescentou que o início da guerra entre Israel e Hamas em outubro de 2023 levou a um pico de ataques cibernéticos contra ativos OT expostos à internet e mal protegidos desenvolvidos por empresas israelenses, muitos deles realizados por grupos como Cyber Av3ngers, Soldiers of Solomon e Abnaa Al-Saada que são afiliados ao Irã.

Os ataques, segundo Redmond, visavam equipamentos OT implementados em diferentes setores em Israel que foram fabricados por fornecedores internacionais, bem como aqueles que foram originados de Israel, mas implementados em outros países.

Esses dispositivos OT são "principalmente sistemas OT expostos à internet com uma postura de segurança fraca, potencialmente acompanhados por senhas fracas e vulnerabilidades conhecidas", acrescentou a gigante da tecnologia.

Para mitigar os riscos apresentados por essas ameaças, recomenda-se que as organizações garantam a higiene de segurança de seus sistemas OT, especificamente reduzindo a superfície de ataque e implementando práticas de zero trust para impedir que atacantes se movam lateralmente dentro de uma rede comprometida.

Esses desenvolvimentos ocorrem enquanto a firma de segurança OT Claroty desembalou uma cepa de malware destrutivo chamada Fuxnet que o grupo de hacking Blackjack, suspeito de ser apoiado pela Ucrânia, teria usado contra a Moscollector, uma empresa russa que mantém uma grande rede de sensores para monitoramento dos sistemas subterrâneos de água e esgoto de Moscou para detecção e resposta a emergências.

Blackjack, que compartilhou detalhes do ataque no início do mês passado, descreveu o Fuxnet como "Stuxnet on steroids", com a Claroty observando que o malware provavelmente foi implantado remotamente nos gateways de sensores usando protocolos como SSH ou o protocolo de sensor (SBK) pela porta 4321.

Fuxnet vem com a capacidade de destruir irrevogavelmente o sistema de arquivos, bloquear o acesso ao dispositivo e fisicamente destruir os chips de memória NAND do dispositivo, escrevendo e reescrevendo constantemente a memória para torná-la inoperante.

Além disso, foi projetado para reescrever o volume UBI para impedir que o sensor reinicie e, inUltimately, corromper os próprios sensores enviando uma inundação de mensagens bogus Meter-Bus (M-Bus).

"Os atacantes desenvolveram e implementaram malware que visava os gateways e excluía sistemas de arquivos, diretórios, desabilitava serviços de acesso remoto, serviços de roteamento para cada dispositivo e reescrevia memória flash, destruía chips de memória NAND, volumes UBI e outras ações que interrompiam ainda mais a operação desses gateways", observou a Claroty.

De acordo com dados compartilhados pela empresa russa de cibersegurança Kaspersky no início desta semana, a internet, clientes de e-mail e dispositivos de armazenamento removíveis emergiram como as principais fontes de ameaças aos computadores na infraestrutura OT de uma organização no primeiro trimestre de 2024.

Os atores maliciosos usam scripts para uma ampla gama de objetivos: coleta de informações, rastreamento, redirecionando o navegador para um site malicioso e carregando vários tipos de malware (spyware e/ou ferramentas silenciosas de mineração de criptomoedas) para o sistema ou navegador do usuário.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...