0
0
Apenas alguns dias após a notícia da tentativa de uso de uma nova variante do malware Industroyer vem um aviso da Agência de Segurança cibernética e infraestrutura dos EUA (CISA): Certos atores da APT têm exibido a capacidade de obter acesso total ao sistema a vários dispositivos de controle industrial (ICS)/controle de supervisão e aquisição de dados (SCADA).
Essas ferramentas podem permitir que os invasores comprometam e controlem os plcs (Programmable Controllers, controladores lógicos programáveis) OMRON Sysmac e servidores OPC UA (Open Platform Communications Unified Architecture, arquitetura unificada de comunicações de plataforma aberta).
“Além disso, os atores podem comprometer estações de trabalho de engenharia baseadas no Windows, que podem estar presentes em ambientes de tecnologia da informação (TI) ou OT, usando uma exploração que compromete um driver de placa-mãe ASRock com vulnerabilidades conhecidas”, explicou a agência.
Detecção e mitigações defensivas
Pesquisadores de várias empresas de cibersegurança, bem como um dos fabricantes de equipamentos direcionados, estiveram envolvidos na análise do malware: Dragos, Mandiant, Microsoft, Palo Alto Networks e Schneider Electric.
Eles têm nomes específicos e coletivos diferentes para os vários programas maliciosos – Dragos, por exemplo, apelidado de todo o pipedream de ferramentas, enquanto Mandiant o chama de Incontroller.
“O malware Pipedream inicialmente tem como alvo os controladores Schneider Electric e Omron, no entanto, não há vulnerabilidades específicas para essas linhas de produtos. Pipedream aproveita a funcionalidade nativa nas operações, tornando mais difícil de detectar. Ele inclui recursos como a capacidade de se espalhar de controlador para controlador e aproveitar protocolos populares de rede ICS, como ModbusTCP e OPC UA”, disse Robert M. Lee, CEO e co-fundador da Dragos.
Dragos apelidou o grupo por trás do malware Chernovite, e eles “avaliam com alta confiança” que é um grupo APT apoiado pelo Estado que o desenvolveu para operações disruptivas ou destrutivas contra o ICS (mais especificamente, organizações que lidam com gás natural líquido e utilitários elétricos).
“Embora a Chernovite esteja especificamente visando os PLCs Schneider Electric e Omron, pode haver outros módulos direcionados a outros fornecedores também, e a funcionalidade da Pipedream pode funcionar em centenas de controladores diferentes. Dito simplesmente, o foco no fornecedor de equipamentos é extraviado e, em vez disso, o foco deve ser colocado nas táticas e técnicas que o adversário está aproveitando”, observaram os pesquisadores do Dragos.
Há algumas boas notícias, porém: o malware foi descoberto, analisado e detalhes, IoCs e ações defensivas potenciais alvos podem tomar foram compartilhados publicamente antes de ser aproveitado pelos atacantes.
“Excepcionalmente, esse malware não foi empregado em redes de destino. Isso proporciona aos defensores uma oportunidade única de defender antes dos ataques. Embora a capacidade maliciosa seja sofisticada com uma ampla gama de funcionalidades, a aplicação de práticas fundamentais de segurança cibernética ics, como ter uma arquitetura defensável, plano específico de resposta a incidentes do ICS e monitoramento de rede ICS fornecem uma defesa robusta”, observou Lee.
FONTE: HELPNET SECURITY