EUA alertam setor de infraestrutura crítica sobre malware que pode assumir o controle total dos sistemas.
As agências dos EUA não identificaram os agentes das ameaças, mas as empresas de segurança cibernética acreditam que alguns dos malwares descobertos estão ligados à Rússia.
As agências governamentais dos EUA emitiram um aviso conjunto dia 13 de abril dizendo que os hackers criaram ferramentas personalizadas que podem ter como alvo vários sistemas de controle industrial (ICS) e obter “acesso total ao sistema”.
O Departamento de Energia dos EUA, a Agência de Segurança Cibernética e de Infraestrutura (CISA), a Agência de Segurança Nacional e o FBI não identificaram os atores da ameaça em seu alerta conjunto . No entanto, as empresas de segurança cibernética que contribuíram para o alerta acreditam que alguns dos malwares descobertos podem estar ligados à Rússia.
As agências instaram as organizações de infraestrutura crítica, particularmente as envolvidas em energia, a tomar medidas como autenticação multifator e alterações consistentes de senha para proteger seus sistemas de controle.
Alguns dos dispositivos que podem ser afetados incluem controladores lógicos programáveis (CLPs – programmable logic controllers) fabricados pela Schneider Electric e pela Omron. Um porta-voz da Schneider disse à Reuters que trabalhou com autoridades dos EUA e chamou de “um exemplo de colaboração bem-sucedida para impedir ameaças em infraestrutura crítica antes que ocorram”.
Agência de Segurança Cibernética instou as organizações de infraestrutura crítica, “especialmente organizações do setor de energia”, a implementar uma série de recomendações destinadas a bloquear e detectar a arma cibernética, chamada Pipedream.
Novo malware
A Mandiant é uma das empresas que trabalhou com as agências norte-americanas nesta assessoria. A empresa de segurança cibernética compartilhou detalhes de um conjunto de ferramentas de ataque ICS, que chamou de Incontroller. Ele disse que isso representa “uma capacidade de ataque cibernético excepcionalmente rara e perigosa” e comparou malwares como Triton, Industroyer e Stuxnet.
O Industroyer foi usado no final de 2016 para derrubar a Ukrenergo , fornecedora de energia na Ucrânia, e cortar a energia no país. Uma variante modificada foi usada em um ataque cibernético nas semanas anteriores e teve como alvo a rede elétrica da Ucrânia .
Mandiant disse que é “muito provável” que o Incontroller seja patrocinado pelo Estado, dada sua complexidade e sua “utilidade limitada em operações motivadas financeiramente”. A empresa de segurança cibernética disse que não conseguiu conectar o malware a um grupo conhecido, mas disse que a atividade é “consistente com o interesse histórico da Rússia no ICS”.
“Embora nossas evidências que conectam o Incontroller à Rússia sejam em grande parte circunstanciais, notamos isso devido ao histórico de ataques cibernéticos destrutivos da Rússia, sua atual invasão da Ucrânia e ameaças relacionadas contra a Europa e a América do Norte”, disse Mandiant em seu relatório .
Outra empresa de segurança cibernética, Dragos, divulgou um relatório sobre uma estrutura modular de ataque ICS chamada Pipedream, que disse ter sido criada por um grupo chamado Chernovite.
“Enquanto a Chernovite visa especificamente os PLCs da Schneider Electric e da Omron, pode haver outros módulos direcionados a outros fornecedores também, e a funcionalidade da Pipedream pode funcionar em centenas de controladores diferentes”, disse Dragos em seu relatório .
Esta não é a primeira vez que os EUA emitem alertas sobre possíveis ataques cibernéticos. No mês passado, o presidente dos EUA, Joe Biden, alertou as empresas que operam no país para reforçar seus esforços de segurança cibernética, pois “inteligência em evolução” sugeria que a Rússia estava planejando ataques cibernéticos visando infraestrutura crítica nos EUA.
Em um comunicado conjunto na semana anterior, o FBI e a CISA alertaram as organizações para ficarem em alerta e reforçarem sua segurança de autenticação multifatorial depois de revelar detalhes de como hackers patrocinados pelo Estado na Rússia conseguiram obter acesso à rede de uma ONG não identificada.
No início do mesmo mês, as empresas de segurança cibernética dos EUA Cloudflare, CrowdStrike e Ping Identity uniram as mãos para oferecer muitos de seus produtos e serviços para organizações de infraestrutura crítica dos EUA gratuitamente, antecipando possíveis ataques cibernéticos provenientes de Moscou.
Embora a Ucrânia tenha sofrido o peso dos ataques cibernéticos da Rússia nos últimos meses, os EUA não foram poupados de ameaças. A Bloomberg informou no início de março que mais de 100 funcionários de quase duas dúzias de empresas de gás natural nos EUA foram invadidos por atores russos.
FONTE: MINUTO DA SEGURANÇA