Atores cibernéticos ligados ao Irã estão mirando dispositivos de operational technology, ou OT, expostos à internet em infraestruturas críticas dos Estados Unidos, incluindo programmable logic controllers, os PLCs, alertaram nesta terça-feira agências de cibersegurança e inteligência.
“Esses ataques levaram à redução da funcionalidade dos PLCs, à manipulação de dados exibidos e, em alguns casos, à interrupção operacional e a perdas financeiras”, afirmou o Federal Bureau of Investigation, o FBI, em uma publicação no X.
As agências disseram que a campanha faz parte de uma recente escalada de ataques cibernéticos orquestrados por grupos de hacking iranianos contra organizações nos Estados Unidos, em resposta ao conflito em curso entre Irã, EUA e Israel.
De acordo com o alerta, a atividade provocou interrupções em PLCs de vários setores de infraestrutura crítica nos EUA por meio do que os órgãos descreveram como interações maliciosas com o project file e manipulação de dados exibidos em interfaces human-machine interface, ou HMI, e em sistemas de supervisory control and data acquisition, ou SCADA.
Os ataques têm como alvo específico PLCs da Rockwell Automation e da Allen-Bradley usados em serviços públicos, sistemas de água e esgoto e no setor de energia.
“Os atores usaram infraestrutura terceirizada alugada, com software de configuração como o Studio 5000 Logix Designer, da Rockwell Automation, para criar uma conexão aceita com o PLC da vítima”, informou o advisory.
“Os dispositivos visados incluem PLCs CompactLogix e Micro850.”
Após obter o acesso inicial, os agentes de ameaça estabeleceram command and control, ou C2, ao implantar o Dropbear, um software Secure Shell, ou SSH, nos endpoints da vítima para permitir acesso remoto pela porta 22 e facilitar a extração do project file do dispositivo e a manipulação de dados em telas HMI e SCADA.
Para reduzir o risco, as organizações são orientadas a não expor o PLC à internet, adotar medidas para impedir modificações remotas por meio de bloqueio físico ou de software, implementar autenticação multifator, instalar firewall ou network proxy à frente do PLC para controlar o acesso à rede, manter os dispositivos sempre atualizados, desativar funções de autenticação que não estejam em uso e monitorar tráfego incomum.
Não é a primeira vez que atores iranianos miram redes OT e PLCs.
No fim de 2023, o grupo Cyber Av3ngers, também identificado como Hydro Kitten, Shahid Kaveh Group e UNC5691, foi associado à exploração ativa de PLCs da Unitronics contra a Municipal Water Authority de Aliquippa, no oeste da Pensilvânia.
Os ataques comprometeram pelo menos 75 dispositivos.
“Este advisory confirma o que observamos há meses: a escalada cibernética do Irã segue um playbook conhecido.
Os atores iranianos agora estão avançando mais rápido, em maior escala e atingindo tanto infraestrutura de TI quanto de OT”, disse Sergey Shykevich, gerente do grupo de threat intelligence da Check Point Research, em nota enviada ao The Hacker News.
“Documentamos padrões idênticos de targeting contra PLCs israelenses em março.
Não é a primeira vez que atores iranianos atacam operational technology nos EUA com o objetivo de causar interrupção, então as organizações não devem tratar isso como uma ameaça nova, mas como uma ameaça em aceleração.”
O avanço ocorre em meio a um aumento de ataques de distributed denial-of-service, ou DDoS, e de alegações de operações de hack-and-leak conduzidas por grupos proxy e hacktivistas contra entidades ocidentais e israelenses, segundo a Flashpoint.
Em um relatório publicado nesta semana, a DomainTools Investigations, ou DTI, descreveu atividades atribuídas a Homeland Justice, Karma/KarmaBelow80 e Handala Hack como um “ecossistema único e coordenado de influência cibernética”, alinhado ao Ministry of Intelligence and Security, o MOIS, do Irã, e não como grupos hacktivistas distintos.
“Essas personas funcionam como capas operacionais intercambiáveis aplicadas a uma capacidade subjacente consistente”, disse a DTI.
“O objetivo não é refletir separação organizacional, mas permitir segmentação de mensagens, targeting e atribuição, preservando a continuidade da infraestrutura e das técnicas.”
Domínios públicos e canais no Telegram funcionam como o principal centro de disseminação e amplificação, enquanto a plataforma de mensagens também tem papel relevante nas operações de command and control, ou C2, ao permitir que o malware se comunique com bots controlados pelos atacantes, reduza a necessidade de infraestrutura e se misture à operação normal.
“Esse ecossistema representa um instrumento de influência cibernética dirigido pelo Estado, no qual operações técnicas são integradas de forma estreita à manipulação narrativa e à amplificação por mídia para alcançar efeitos coercitivos e estratégicos”, acrescentou a DTI.
MuddyWater e CastleRAT
A revelação ocorre no momento em que a JUMPSEC detalhou vínculos entre o MuddyWater e o ecossistema criminoso, afirmando que o ator de ameaça patrocinado pelo Estado iraniano opera ao menos duas versões do CastleRAT contra alvos israelenses.
O CastleRAT é um remote access trojan, ou RAT, que faz parte do framework CastleLoader, atribuído pela Recorded Future a um grupo que monitora sob o nome GrayBravo, também conhecido como TAG-150.
No centro das operações está um deployer em PowerShell, chamado reset.ps1, que distribui um malware baseado em JavaScript até então não documentado, o ChainShell.
Em seguida, o código se conecta a um smart contract na blockchain Ethereum para obter um endereço de C2 e usá-lo para baixar a próxima etapa do JavaScript, que será executada nos hosts comprometidos.
Alguns desses vínculos entre o MOIS e o ecossistema do cibercrime também foram apontados por Ctrl-Alt-Intel, Broadcom e Check Point, reforçando a crescente adoção de ferramentas prontas para uso comercial para apoiar objetivos estatais e dificultar os esforços de atribuição.
O mesmo loader em PowerShell também foi identificado como responsável por entregar um malware de botnet conhecido como Tsundere, também chamado de Dindoor.
Segundo a JUMPSEC, tanto ChainShell quanto Tsundere são componentes distintos da plataforma TAG-150 e são distribuídos junto com o CastleRAT.
“A adoção de um MaaS criminoso de origem russa por um ator estatal iraniano traz implicações diretas para os defensores”, afirmou a JUMPSEC.
“Organizações visadas pelo MuddyWater, especialmente nos setores de defesa, aeroespacial, energia e governo, agora enfrentam ameaças que combinam targeting de nível estatal com ferramentas ofensivas desenvolvidas comercialmente.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...