Microsoft наблегна на необходимостта от защита на изложените на интернет устройства за оперативни технологии (OT) след поредицата от кибератаки, насочени към такива среди от края на 2023 г. насам.

„Тези повтарящи се атаки срещу OT устройства подчертават изключително важната необходимост от подобряване на сигурността на OT устройствата и предотвратяване на превръщането на критични системи в лесни мишени“, заяви екипът на Microsoft Threat Intelligence.

Компанията отбеляза, че кибератака срещу система за ОТ може да позволи на злонамерени хакери да манипулират критични параметри, използвани в промишлените процеси, или програмно чрез програмируем логически контролер (PLC), или чрез графични контроли на интерфейса човек-машина (HMI), което води до неизправности и прекъсвания на системата.

В доклада се казва още, че системите ОТ често не разполагат с адекватни механизми за сигурност, което ги прави готови за експлоатация от недоброжелатели и за извършване на атаки, които са „сравнително лесни за изпълнение“ – факт, който се усложнява от допълнителните рискове, въведени от прякото свързване на устройствата ОТ с интернет.

Това не само прави устройствата откриваеми от нападателите чрез инструменти за сканиране в интернет, но и могат да бъдат използвани като оръжие за получаване на първоначален достъп, като се възползват от слаби пароли за влизане или остарял софтуер с известни уязвимости.

Само миналата седмица Rockwell Automation издаде препоръка, в която призовава клиентите си да изключат всички системи за индустриален контрол (ICS), които не са предназначени за свързване към публично достъпния интернет, поради „повишеното геополитическо напрежение и противниковата кибернетична дейност в световен мащаб“.

Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) също публикува собствен бюлетин, в който предупреждава за проруски хакери, насочени към уязвими промишлени системи за управление в Северна Америка и Европа.

„По-конкретно, проруските хакери са манипулирали HMI, карайки водните помпи и вентилационното оборудване да надвишават нормалните си работни параметри“, заяви агенцията. „Във всеки случай хактивистите са увеличавали максимално зададените стойности, променяли са други настройки, изключвали са механизмите за алармиране и са променяли административните пароли, за да блокират операторите на WWS.“

От Microsoft Threat Intelligence заявиха още, че началото на войната между Израел и Хамас през октомври 2023 г. е довело до рязко увеличаване на кибератаките срещу изложени на интернет и слабо защитени ОТ активи, разработени от израелски компании, като много от тях са били извършени от групировки като Cyber Av3ngers, Soldiers of Solomon и Abnaa Al-Saada, които са свързани с Иран.

Според Редмънд атаките са насочени към оборудване за ОТ, разположено в различни сектори в Израел, което е произведено от международни доставчици, както и към такова, което е доставено от Израел, но е разположено в други държави.

Тези OT устройства са „предимно изложени на интернет OT системи със слаба сигурност, потенциално придружени от слаби пароли и известни уязвимости“, добави технологичният гигант.

За да се намалят рисковете, породени от подобни заплахи, се препоръчва организациите да осигурят хигиена на сигурността за своите OT системи, по-специално чрез намаляване на повърхността на атака и прилагане на практики за нулево доверие, за да се предотврати страничното движение на нападателите в рамките на компрометирана мрежа.

Разработката идва в момент, в който фирмата за OT сигурност Claroty анализира разрушителен щам на зловреден софтуер, наречен Fuxnet, който хакерската група Blackjack, за която се предполага, че е подкрепяна от Украйна, е използвала срещу Moscollector – руска компания, която поддържа голяма мрежа от сензори за наблюдение на подземните водоснабдителни и канализационни системи на Москва с цел откриване и реагиране при извънредни ситуации.

BlackJack, който сподели подробности за атаката в началото на миналия месец, описа Fuxnet като „Stuxnet на стероиди“, а Claroty отбеляза, че зловредният софтуер вероятно е бил разположен дистанционно до целевите сензорни шлюзове, използвайки протоколи като SSH или сензорния протокол (SBK) през порт 4321.

Fuxnet разполага с възможност за безвъзвратно унищожаване на файловата система, блокиране на достъпа до устройството и физическо унищожаване на чиповете NAND памет на устройството чрез постоянно записване и презаписване на паметта, за да се направи тя неработоспособна.

Освен това е проектирано да презаписва обема на UBI, за да предотврати рестартирането на сензора, и в крайна сметка да повреди самите сензори, като изпраща поток от фалшиви съобщения по Meter-Bus (M-Bus).

„Нападателите разработиха и внедриха зловреден софтуер, който се насочи към шлюзовете и изтри файловите системи, директориите, деактивира услугите за отдалечен достъп, услугите за маршрутизация за всяко устройство и презаписва флаш паметта, унищожава чиповете NAND памет, UBI томовете и други действия, които допълнително нарушават работата на тези шлюзове“, отбеляза BlackJack.

Според данни, споделени от руската компания за киберсигурност „Касперски“ по-рано тази седмица, през първото тримесечие на 2024 г. интернет, имейл клиентите и преносимите устройства за съхранение се очертават като основни източници на заплахи за компютрите в ОТ инфраструктурата на организацията.

„Злонамерените хакери използват скриптове за широк спектър от цели: събиране на информация, проследяване, пренасочване на браузъра към злонамерен сайт и качване на различни видове зловреден софтуер (шпионски софтуер и/или инструменти за тихо добиване на криптовалути) в системата или браузъра на потребителя“, се казва в съобщението. „Те се разпространяват чрез интернет и електронна поща.“