Infraestructuras críticas de EE. UU. atacadas por malware complejo: Un peligro inminente

Un nuevo aviso conjunto de varias agencias gubernamentales de EE. UU. acaba de ser emitido. El Departamento de Energía (DOE), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y el Buró Federal de Investigaciones (FBI) están advirtiendo al sector energético de EE. UU. que ciertos actores de amenazas persistentes avanzadas (APT) han demostrado la capacidad de obtener acceso total al sistema a múltiples dispositivos de control industrial (ICS) y sistemas de control y adquisición de datos (SCADA).

Índice de Contenido
  1. Dispositivos y servidores objetivo
    1. Dispositivos Schneider Electric
    2. Dispositivos OMRON
    3. Servidores OPC Unified Architecture
  2. La amenaza Incontroller
  3. Recomendaciones

Dispositivos y servidores objetivo

El aviso expone varias herramientas utilizadas por los atacantes basadas en el hardware objetivo.

Dispositivos Schneider Electric

Varios PLC MODICON y MODICON Nano de Schneider Electric, incluyendo (pero sin limitarse a) TM251, TM241, M258, M238, LMC058 y LMC078, se ven afectados.

La herramienta de amenaza utilizada por los actores tiene módulos que interactúan a través de protocolos de gestión normales y protocolos Modbus, lo que permite a los atacantes:

  • Escanear rápidamente una red local en busca de todos los PLC de Schneider Electric
  • Forzar contraseñas de PLC utilizando CODESYS y otros protocolos disponibles contra contraseñas predeterminadas o una lista de palabras del diccionario
  • Realizar ataques de denegación de servicio para evitar que se alcancen los PLC
  • Interrumpir conexiones, obligando a los usuarios a volver a autenticarse en los PLC, lo que probablemente facilite la captura de credenciales válidas
  • Provocar la caída de los PLC hasta que se realice un ciclo de energía y una recuperación de la configuración
  • Enviar comandos personalizados Modbus (que también pueden funcionar contra dispositivos Modbus además de los PLC de Schneider Electric)

Dispositivos OMRON

Los dispositivos afectados son los PLC OMRON Sysmac NJ y NX, incluyendo (pero sin limitarse a) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK y R88D-1SN10F-ECT.

La herramienta de amenaza utilizada por los actores tiene módulos que permiten a los atacantes:

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
  • Buscar dispositivos OMRON utilizando el protocolo FINS (servicio de interfaz de fábrica)
  • Analizar la respuesta HTTP de los dispositivos OMRON
  • Recuperar la dirección de control de acceso a medios (MAC) de los dispositivos
  • Buscar dispositivos específicos conectados a los PLC
  • Realizar copias de seguridad/restaurar archivos arbitrarios en/desde los PLC
  • Cargar un agente malicioso personalizado en los PLC de OMRON para operaciones adicionales de ataque (manipulación de archivos, captura de paquetes o ejecución de código)

Servidores OPC Unified Architecture

Los servidores OPC UA podrían ser accedidos utilizando credenciales predeterminadas o previamente comprometidas. El cliente atacante puede leer la estructura OPC UA desde el servidor y potencialmente escribir valores de etiqueta disponibles a través de OPC UA.

La amenaza Incontroller

Un informe de Mandiant, mencionado en el aviso, se refiere a una probable herramienta de ataque respaldada por el estado denominada Incontroller (también conocida como Pipedream), diseñada para atacar dispositivos de automatización.

Incontroller consta de tres elementos dirigidos a todos los dispositivos mencionados en el aviso de seguridad. Los investigadores de Mandiant dudan en gran medida que los actores de amenazas ataquen todos estos dispositivos al azar y es probable que hayan sido elegidos debido a la vigilancia de entornos objetivo específicos. Cada herramienta podría usarse por separado, pero también es posible que todas las herramientas se utilicen para atacar un solo entorno.

Los escenarios de ataque de Incontroller, expuestos por Mandiant, podrían provocar:

  • Disrupción operativa de actividades, lo que conlleva retrasos en la producción, pérdidas económicas y procedimientos de inicio de instalaciones complejos
  • Sabotaje de procesos industriales, lo que resulta en productos defectuosos o comportamiento incorrecto de las máquinas
  • Destrucción física de maquinaria industrial, afectando la seguridad humana y el medio ambiente, y daño a los equipos

Dada la complejidad de estas herramientas y la experiencia y recursos necesarios para construirlas, además del hecho de que dichas herramientas tienen utilidad limitada en operaciones con motivaciones financieras, Mandiant señala que la actividad es consistente con el interés histórico de Rusia en los ICS.

Dragos, también mencionado en el aviso por su informe sobre Pipedream, evalúa que esta herramienta aún no se ha implementado en el ciberespacio. Dragos también cree con alta confianza que Pipedream fue desarrollada por un actor estatal conocido como Chernovite con la intención de utilizarla en futuras operaciones.

Cómo proteger tu computadora de los virus: métodos y consejos

En cuanto a los posibles objetivos, los investigadores de Dragos escriben que el malware de Pipedream se dirige a equipos en entornos de gas natural licuado (GNL) y energía eléctrica, pero podría adaptarse fácilmente para comprometer y perturbar un conjunto más amplio de objetivos.

Recomendaciones

El aviso conjunto de las agencias gubernamentales de EE. UU. sugiere las siguientes medidas de mitigación para esta amenaza:

  • Aislar los sistemas y redes de ICS/SCADA de las redes corporativas e internet utilizando sólidos controles perimetrales.
  • Limitar las comunicaciones que entran o salen de los perímetros de ICS/SCADA.
  • Limitar las conexiones de red de los sistemas de ICS/SCADA solo a estaciones de trabajo de gestión e ingeniería específicamente permitidas.
  • Implementar autenticación multifactor (MFA) para todo el acceso remoto a las redes y dispositivos de ICS siempre que sea posible.
  • Tener un plan de respuesta a incidentes cibernéticos preparado y practicado regularmente con las partes interesadas de IT, ciberseguridad y operaciones.
  • Cambiar todas las contraseñas de los dispositivos y sistemas de ICS/SCADA para evitar dejar ninguna contraseña predeterminada, y utilizar contraseñas sólidas únicas para cada dispositivo para mitigar los ataques de fuerza bruta.
  • Mantener copias de seguridad offline conocidas y válidas y realizar comprobaciones de integridad y hash en los archivos de firmware y configuración del controlador.
  • Proteger los sistemas de gestión mediante la configuración de funciones como Device Guard, Credential Guard e Hypervisor Code Integrity (HVCI).
  • Instalar soluciones de detección y respuesta en endpoints (EDR) y asegurarse de que estén configuradas con ajustes de reputación de archivos antivirus sólidos.
  • Implementar una recopilación y retención de registros sólida de los sistemas de ICS/SCADA y subredes de gestión.
  • Utilizar una solución de monitoreo continuo de OT (tecnología operativa) para recibir alertas sobre indicadores y comportamientos maliciosos.
  • Asegurarse de que todas las aplicaciones se instalen solo cuando sean necesarias.
  • Aplicar el principio de privilegio mínimo y limitar el uso de cuentas de administrador.
  • Investigar cada síntoma de denegación de servicio o interrupción de conexiones.
  • Monitorear los sistemas en busca de carga de controladores inusuales, especialmente para el controlador ASRock, si no se utiliza normalmente en el sistema.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Infraestructuras críticas de EE. UU. atacadas por malware complejo: Un peligro inminente , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.