A CISA, o FBI, a NSA, o Departamento de Energia e outros parceiros do governo dos Estados Unidos alertam que hackers estão mirando sistemas automatizados de medição de tanques, conhecidos como ATG, expostos à internet e usados para monitorar tanques de combustível e de armazenamento de líquidos em diferentes setores de infraestrutura crítica.
Segundo a agência de cibersegurança, esses sistemas são amplamente utilizados nos setores de Energia, Químico, Alimentos e Agricultura e Sistemas de Transporte para monitorar remotamente níveis de armazenamento, temperaturas e possíveis vazamentos.
O governo dos EUA afirma que os threat actors estão atacando dispositivos expostos e alterando configurações do sistema por meio da execução de comandos.
“A recente atividade cibernética maliciosa observada pelas organizações autoras, que o governo dos Estados Unidos ainda não atribuiu a um Estado-nação ou a um grupo de threat actor, envolve threat actors comprometendo sistemas ATG expostos à internet e, em seguida, modificando-os por meio da execução de comandos”, diz o alerta.
De acordo com as agências, os invasores estão obtendo acesso por meio de falhas de bypass de autenticação, credenciais hardcoded, falhas na execução de comandos do sistema operacional, vulnerabilidades de injeção SQL e fraquezas de escalonamento de privilégios.
Se o sistema for comprometido com sucesso, os atacantes podem alterar configurações de rede, identificadores de produto, volumes dos tanques e controles das bombas.
Eles também podem desativar alertas e criar condições que impeçam os operadores de monitorar corretamente os níveis de enchimento dos tanques, aumentando potencialmente o risco de vazamentos ou falhas de equipamentos.
As agências recomendaram que as organizações bloqueiem os sistemas ATG na internet, restrinjam o acesso remoto por meio de firewall, VPN ou listas de controle de acesso, troquem as senhas padrão, utilizem credenciais fortes e MFA, apliquem atualizações de segurança e monitorem ativamente os sistemas em busca de alterações não autorizadas.
Embora o alerta não atribua a atividade a nenhum threat actor específico, ele surge após uma reportagem da CNN em maio, segundo a qual hackers iranianos estariam por trás de uma série de invasões envolvendo sistemas ATG em postos de gasolina em vários estados.
De acordo com a CNN, os atacantes exploraram sistemas ATG conectados à internet e protegidos por senhas fracas ou inexistentes, o que permitiu acessar e manipular as leituras exibidas.
No entanto, eles não alteraram os níveis reais de combustível.
Os incidentes, segundo as reportagens, não causaram danos físicos, mas levantaram preocupações de que os atacantes poderiam interferir na detecção de vazamentos e em outras funções relacionadas à segurança.
A CNN informou que o Irã era o principal suspeito por seu histórico de ataques a sistemas de gerenciamento de combustível e outras tecnologias de controle industrial.
Ainda assim, a CNN relatou que várias fontes informadas sobre a investigação disseram que talvez não seja possível atribuir a atividade a um invasor específico, já que restaram poucos indícios forenses nos ataques.
A CISA e seus parceiros afirmaram que as organizações que operam sistemas ATG devem revisar sua exposição e implementar imediatamente as medidas de mitigação recomendadas para reduzir o risco de comprometimento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...