O governo dos EUA está alertando que hacktivistas pró-Rússia estão buscando e invadindo sistemas de tecnologia operacional (OT) desprotegidos, usados para interromper operações de infraestrutura crítica.
O aviso conjunto vem de seis agências governamentais dos EUA, incluindo CISA, FBI, NSA, EPA, DOE, USDA e FDA, bem como do Multi-State Information Sharing and Analysis Center (MS-ISAC), do Centre for Cyber Security do Canadá (CCCS) e do National Cyber Security Centre do Reino Unido (NCSC-UK).
Dispositivos OT são uma combinação de plataformas de hardware e software usadas para monitorar e controlar processos físicos ou atividades na manufatura, infraestrutura crítica e outras indústrias.
Por exemplo, estações de tratamento de água usam dispositivos OT para gerenciar o tratamento, distribuição e pressão da água, fornecendo um suprimento contínuo e seguro de água.
Em um comunicado divulgado hoje, o governo dos EUA alerta que hacktivistas pró-Rússia têm mirado dispositivos OT inseguros e mal configurados desde 2022 para interromper operações ou criar "efeitos de incômodo".
"A atividade de hacktivistas pró-Rússia contra esses setores parece, na sua maioria, limitada a técnicas não sofisticadas que manipulam equipamentos de ICS para criar efeitos de incômodo," lê-se no comunicado conjunto.
No entanto, as investigações identificaram que esses atores são capazes de técnicas que representam ameaças físicas contra ambientes OT inseguros e mal configurados.
O governo afirma que muitos dos ataques são superestimados, mas alguns ataques recentes em 2024 causaram um pouco mais de interrupção.
Um grupo de hacktivistas pró-Rússia conhecido como Cyber Army of Russia reivindicou a autoria de ataques a instalações de tratamento e processamento de água no Texas e em Indiana, bem como infraestrutura hídrica na Polônia e na França.
Enquanto a instalação de água do Texas confirmou um ataque que fez um tanque transbordar, a planta de tratamento de águas residuais de Indiana informou à CNN que foi alvo, mas não foi violada.
Embora o Cyber Army e outros grupos se reivindiquem hacktivistas, um relatório recente da Mandiant vinculou o grupo aos hackers Sandworm, um ator de ameaça persistente avançada rastreado como APT44 e ligado à Diretoria Principal de Inteligência da Rússia (GRU), a agência de inteligência militar estrangeira do país.
O aviso alerta que as agências governamentais viram esses hacktivistas mirando em dispositivos OT por meio de diferentes técnicas, principalmente utilizando VNC:
- Usando o Protocolo VNC para acessar interfaces homem-máquina (HMIs) e fazer alterações no OT subjacente.
VNC é usado para acesso remoto a interfaces gráficas de usuário, incluindo HMIs que controlam sistemas OT.
- Explorando o Protocolo VNC Remote Frame Buffer para fazer login em HMIs para controlar sistemas OT.
- Explorando VNC pela Porta 5900 para acessar HMIs usando credenciais padrão e senhas fracas em contas não protegidas pela autenticação multifator.
Para proteger contra esses ataques, o aviso oferece uma ampla gama de medidas, incluindo colocar HMIs atrás de firewalls, reforçar a segurança em instalações VNC, habilitar autenticação multifator, aplicar as últimas atualizações de segurança, mudar senhas padrão e aumentar a postura geral de segurança dos ambientes de TI.
"Este ano, observamos hacktivistas pró-Rússia ampliarem seus alvos para incluir sistemas de controle industrial vulneráveis na América do Norte e Europa," disse Dave Luber, Diretor de Cibersegurança da NSA.
"A NSA recomenda enfaticamente que os administradores OT de organizações de infraestrutura crítica implementem as mitigações descritas neste relatório, especialmente mudando quaisquer senhas padrão, para melhorar sua postura de cibersegurança e reduzir a vulnerabilidade de seus sistemas a esse tipo de ataque."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...