Microsoft ha enfatizado la necesidad de proteger los dispositivos de tecnología operativa (OT) expuestos a Internet luego de una serie de ataques cibernéticos dirigidos a dichos entornos desde finales de 2023.
«Estos ataques repetidos contra dispositivos OT enfatizan la necesidad crucial de mejorar la postura de seguridad de los dispositivos OT y evitar que los sistemas críticos se conviertan en objetivos fáciles», dijo el equipo de Microsoft Threat Intelligence. dicho.
La compañía señaló que un ciberataque a un sistema OT podría permitir a actores maliciosos alterar parámetros críticos utilizados en procesos industriales, ya sea mediante programación a través del controlador lógico programable (PLC) o utilizando los controles gráficos de la interfaz hombre-máquina (HMI). resultando en mal funcionamiento y cortes del sistema.
Dijo además que los sistemas OT a menudo carecen de mecanismos de seguridad adecuados, lo que los hace aptos para ser explotados por adversarios y ejecutar ataques que son «relativamente fáciles de ejecutar», un hecho agravado por los riesgos adicionales que introduce la conexión directa de dispositivos OT a Internet.
Esto no solo hace que los atacantes puedan descubrir los dispositivos a través de herramientas de escaneo de Internet, sino que también los utilizan como arma para obtener acceso inicial aprovechando contraseñas de inicio de sesión débiles o software obsoleto con vulnerabilidades conocidas.
La semana pasada, Rockwell Automation emitido un aviso que insta a sus clientes a desconectar todos los sistemas de control industrial (ICS) que no están destinados a estar conectados a Internet público debido a «aumentadas tensiones geopolíticas y actividad cibernética adversa a nivel mundial».
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también ha liberado un boletín de su propia advertencia sobre los hacktivistas prorrusos que apuntan a sistemas de control industrial vulnerables en América del Norte y Europa.
«Específicamente, los hacktivistas prorrusos manipularon las HMI, provocando que las bombas de agua y los equipos de soplado excedieran sus parámetros operativos normales», dijo la agencia. «En cada caso, los hacktivistas maximizaron los puntos de ajuste, alteraron otras configuraciones, desactivaron los mecanismos de alarma y cambiaron las contraseñas administrativas para bloquear a los operadores del WWS».
Microsoft dijo además que el inicio de la guerra entre Israel y Hamas en octubre de 2023 provocó un aumento de los ataques cibernéticos contra activos de OT mal protegidos y expuestos a Internet desarrollados por empresas israelíes, y muchos de ellos realizados por grupos como Ciber Av3ngersSoldados de Salomón y Abna Al-Saada.
Los ataques, según Redmond, señalaron equipos OT desplegados en diferentes sectores de Israel fabricados por proveedores internacionales, así como aquellos que procedían de Israel pero estaban desplegados en otros países.
Estos dispositivos OT son «principalmente sistemas OT expuestos a Internet con una mala postura de seguridad, potencialmente acompañados de contraseñas débiles y vulnerabilidades conocidas», añadió el gigante tecnológico.
Para mitigar los riesgos que plantean dichas amenazas, se recomienda que las organizaciones garanticen la higiene de la seguridad de sus sistemas OT, específicamente reduciendo la superficie de ataque e implementando prácticas de confianza cero para evitar que los atacantes se muevan lateralmente dentro de una red comprometida.
El desarrollo se produce cuando la empresa de seguridad OT Claroty desempaquetado una variedad de malware destructivo llamado Fuxnet que el grupo de hackers Blackjack, que se sospecha está respaldado por Ucrania, supuestamente utilizó contra Mocollector, una empresa rusa que mantiene una gran red de sensores para monitorear los sistemas subterráneos de agua y alcantarillado de Moscú para detección y respuesta a emergencias.
Blackjack, que detalles compartidos del ataque a principios del mes pasado, describió a Fuxnet como «estuxnet con esteroides», y Claroty señaló que el malware probablemente se implementó de forma remota en las puertas de enlace de los sensores de destino utilizando protocolos como SSH o el protocolo de sensores (SBK) a través del puerto 4321.
Fuxnet viene con la capacidad de destruir irrevocablemente el sistema de archivos, bloquear el acceso al dispositivo y destruir físicamente los chips de memoria NAND del dispositivo escribiendo y reescribiendo constantemente la memoria para dejarla inoperable.
Además de eso, está diseñado para reescribir el volumen UBI para evitar que el sensor se reinicie y, en última instancia, corromper los propios sensores enviando una avalancha de mensajes falsos. Metro-Bus (M-Bus) mensajes.
«Los atacantes desarrollaron e implementaron malware dirigido a las puertas de enlace y eliminaron sistemas de archivos, directorios, desactivaron servicios de acceso remoto, servicios de enrutamiento para cada dispositivo y reescribieron la memoria flash, destruyeron chips de memoria NAND, volúmenes UBI y otras acciones que interrumpieron aún más el funcionamiento de estas puertas de enlace. «, señaló Claroty.
Según datos compartidos por la empresa rusa de ciberseguridad Kaspersky a principios de esta semana, Internet, los clientes de correo electrónico y los dispositivos de almacenamiento extraíbles surgieron como las principales fuentes de amenazas a las computadoras en la infraestructura OT de una organización en el primer trimestre de 2024.
«Los actores maliciosos utilizan scripts para una amplia gama de objetivos: recopilar información, rastrear, redirigir el navegador a un sitio malicioso y cargar varios tipos de malware (spyware y/o herramientas silenciosas de criptominería) en el sistema o navegador del usuario», indica. dicho. «Estos se difunden a través de Internet y del correo electrónico».