0
0
O governo dos EUA está soando um alarme alto depois de descobrir novas ferramentas personalizadas capazes de comprometer o sistema completo e interromper dispositivos e servidores ICS/SCADA.
Um comunicado conjunto do Departamento de Energia, CISA, NSA e o FBI alertaram que atores não identificados da APT criaram ferramentas especializadas capazes de causar grandes danos aos PLCs da Schneider Electric e da OMRON Corp. e servidores da Fundação OPC de código aberto.
“As ferramentas permitem que eles escaneiem, comprometam e controlem dispositivos afetados assim que estabelecerem acesso inicial à rede de tecnologia operacional (OT). Além disso, os atores podem comprometer estações de trabalho de engenharia baseadas no Windows, que podem estar presentes em ambientes de tecnologia da informação (TI) ou OT, usando uma exploração que compromete um driver de placa-mãe ASRock com vulnerabilidades conhecidas”, alertaram as agências.
“Ao comprometer e manter o acesso total do sistema aos dispositivos ICS/SCADA, os atores APT poderiam elevar privilégios, mover-se lateralmente dentro de um ambiente OT e interromper dispositivos ou funções críticas”, de acordo com a assessoria conjunta [PDF].
O aviso do governo vem na esteira de uma série de ataques de malware de limpadores ligados à invasão da Ucrânia pela Rússia e a um compromisso da cadeia de fornecimento de software que efetivamente prejudicou o serviço de internet viasat.
A empresa de segurança privada ICS Dragos emitiu um aviso separado documentando o que é agora o sétimo malware específico do sistema de controle industrial (ICS). “[Esta] é uma estrutura modular de ataque do ICS que um adversário poderia aproveitar para causar interrupção, degradação e, possivelmente, até destruição, dependendo dos alvos e do meio ambiente”, disse a empresa.
Dragos, que chama o malware de “PIPEDREAM“, disse que os componentes combinados na ferramenta personalizada poderiam permitir que os invasores enumerar um ambiente industrial, infiltrar estações de trabalho de engenharia, explorar controladores de processos, cruzar zonas de segurança e processo, desativar fundamentalmente controladores e manipular lógica e programação executadas.
“Todas essas capacidades podem levar à perda de segurança, disponibilidade e controle de um ambiente industrial, aumentando drasticamente o tempo de recuperação, ao mesmo tempo em que potencialmente coloca vidas, meios de subsistência e comunidades em risco”, acrescentou Dragos.
As agências governamentais dos EUA confirmaram a avaliação do Dragos, alertando que as ferramentas possuem um console virtual com uma interface de comando que espelha a interface do dispositivo ICS/SCADA direcionado.
“Os módulos interagem com dispositivos direcionados, permitindo que operações de atores cibernéticos de menor qualificação emulem capacidades de atores mais qualificados. Os atores do APT podem aproveitar os módulos para digitalizar dispositivos direcionados, realizar reconhecimento nos detalhes do dispositivo, carregar configuração/código malicioso para o dispositivo alvo, fazer backup ou restaurar o conteúdo do dispositivo e modificar parâmetros do dispositivo.”
O governo também detectou sinais de que a ferramenta está sendo usada para explorar um driver de placa-mãe assinado pela ASRock, PI, explorando o CVE-2020-15368 para executar códigos maliciosos no kernel do Windows. “A implantação bem-sucedida desta ferramenta pode permitir que os atores do APT se movam lateralmente dentro de um ambiente de TI ou OT e interrompam dispositivos ou funções críticas”, disseram as agências.
O aviso do governo disse que o malware personalizado foi visto visando os seguintes produtos:
● Schneider Electric MODICON e MODICON Nano PLCs, incluindo (mas não pode se limitar a) TM251, TM241, M258, M238, LMC058 e LMC078;
● OS PLCs OMRON Sysmac NJ e NX, incluindo (mas não podem se limitar a) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK e R88D-1SN10F-ECT; e
● Servidores OPC Unified Architecture (OPC UA).
Equipes de resposta de segurança estão sendo pressionadas a impor autenticação de vários fatores para todo o acesso remoto a redes e dispositivos ICS e usar uma solução contínua de monitoramento OT para registrar e alertar sobre indicadores e comportamentos maliciosos.
As agências governamentais também estão recomendando o isolamento dos sistemas e redes ICS/SCADA de redes corporativas e de internet usando fortes controles de perímetro, e limitam qualquer comunicação que entre ou saia dos perímetros ics/SCADA.
FONTE: SECURITY WEEK