Търсене
Close this search box.

Microsoft предупреждава за рязък ръст на кибератаките, насочени към OT устройства

Microsoft наблегна на необходимостта от защита на изложените на интернет устройства за оперативни технологии (OT) след поредицата от кибератаки, насочени към такива среди от края на 2023 г. насам.

„Тези повтарящи се атаки срещу OT устройства подчертават изключително важната необходимост от подобряване на сигурността на OT устройствата и предотвратяване на превръщането на критични системи в лесни мишени“, заяви екипът на Microsoft Threat Intelligence.

 

Компанията отбеляза, че кибератака срещу система за ОТ може да позволи на злонамерени хакери да манипулират критични параметри, използвани в промишлените процеси, или програмно чрез програмируем логически контролер (PLC), или чрез графични контроли на интерфейса човек-машина (HMI), което води до неизправности и прекъсвания на системата.

В доклада се казва още, че системите ОТ често не разполагат с адекватни механизми за сигурност, което ги прави готови за експлоатация от недоброжелатели и за извършване на атаки, които са „сравнително лесни за изпълнение“ – факт, който се усложнява от допълнителните рискове, въведени от прякото свързване на устройствата ОТ с интернет.

Това не само прави устройствата откриваеми от нападателите чрез инструменти за сканиране в интернет, но и могат да бъдат използвани като оръжие за получаване на първоначален достъп, като се възползват от слаби пароли за влизане или остарял софтуер с известни уязвимости.

Само миналата седмица Rockwell Automation издаде препоръка, в която призовава клиентите си да изключат всички системи за индустриален контрол (ICS), които не са предназначени за свързване към публично достъпния интернет, поради „повишеното геополитическо напрежение и противниковата кибернетична дейност в световен мащаб“.

Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) също публикува собствен бюлетин, в който предупреждава за проруски хакери, насочени към уязвими промишлени системи за управление в Северна Америка и Европа.

„По-конкретно, проруските хакери са манипулирали HMI, карайки водните помпи и вентилационното оборудване да надвишават нормалните си работни параметри“, заяви агенцията. „Във всеки случай хактивистите са увеличавали максимално зададените стойности, променяли са други настройки, изключвали са механизмите за алармиране и са променяли административните пароли, за да блокират операторите на WWS.“

От Microsoft Threat Intelligence заявиха още, че началото на войната между Израел и Хамас през октомври 2023 г. е довело до рязко увеличаване на кибератаките срещу изложени на интернет и слабо защитени ОТ активи, разработени от израелски компании, като много от тях са били извършени от групировки като Cyber Av3ngers, Soldiers of Solomon и Abnaa Al-Saada, които са свързани с Иран.

Според Редмънд атаките са насочени към оборудване за ОТ, разположено в различни сектори в Израел, което е произведено от международни доставчици, както и към такова, което е доставено от Израел, но е разположено в други държави.

Тези OT устройства са „предимно изложени на интернет OT системи със слаба сигурност, потенциално придружени от слаби пароли и известни уязвимости“, добави технологичният гигант.

За да се намалят рисковете, породени от подобни заплахи, се препоръчва организациите да осигурят хигиена на сигурността за своите OT системи, по-специално чрез намаляване на повърхността на атака и прилагане на практики за нулево доверие, за да се предотврати страничното движение на нападателите в рамките на компрометирана мрежа.

Разработката идва в момент, в който фирмата за OT сигурност Claroty анализира разрушителен щам на зловреден софтуер, наречен Fuxnet, който хакерската група Blackjack, за която се предполага, че е подкрепяна от Украйна, е използвала срещу Moscollector – руска компания, която поддържа голяма мрежа от сензори за наблюдение на подземните водоснабдителни и канализационни системи на Москва с цел откриване и реагиране при извънредни ситуации.

BlackJack, който сподели подробности за атаката в началото на миналия месец, описа Fuxnet като „Stuxnet на стероиди“, а Claroty отбеляза, че зловредният софтуер вероятно е бил разположен дистанционно до целевите сензорни шлюзове, използвайки протоколи като SSH или сензорния протокол (SBK) през порт 4321.

Fuxnet разполага с възможност за безвъзвратно унищожаване на файловата система, блокиране на достъпа до устройството и физическо унищожаване на чиповете NAND памет на устройството чрез постоянно записване и презаписване на паметта, за да се направи тя неработоспособна.

Освен това е проектирано да презаписва обема на UBI, за да предотврати рестартирането на сензора, и в крайна сметка да повреди самите сензори, като изпраща поток от фалшиви съобщения по Meter-Bus (M-Bus).

„Нападателите разработиха и внедриха зловреден софтуер, който се насочи към шлюзовете и изтри файловите системи, директориите, деактивира услугите за отдалечен достъп, услугите за маршрутизация за всяко устройство и презаписва флаш паметта, унищожава чиповете NAND памет, UBI томовете и други действия, които допълнително нарушават работата на тези шлюзове“, отбеляза BlackJack.

Според данни, споделени от руската компания за киберсигурност „Касперски“ по-рано тази седмица, през първото тримесечие на 2024 г. интернет, имейл клиентите и преносимите устройства за съхранение се очертават като основни източници на заплахи за компютрите в ОТ инфраструктурата на организацията.

„Злонамерените хакери използват скриптове за широк спектър от цели: събиране на информация, проследяване, пренасочване на браузъра към злонамерен сайт и качване на различни видове зловреден софтуер (шпионски софтуер и/или инструменти за тихо добиване на криптовалути) в системата или браузъра на потребителя“, се казва в съобщението. „Те се разпространяват чрез интернет и електронна поща.“

 

Източник: The Hacker News

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
14 юни 2024

Как да повишим киберсигурността на компаниите з...

Технологичният пейзаж се променя бързо, което поставя нови предизви...

Заплахата от подмяна на SIM карти продължава

Въпреки че измамите с подмяна на SIM карти или смяна на SIM карти с...
Бъдете социални
Още по темата
11/06/2024

Google премахва кампании за...

Google разкри, че е премахнала 1320...
09/06/2024

Редмънд се поддаде на натис...

Microsoft се поддаде на обществения натиск...
05/06/2024

Microsoft с първа бета верс...

Microsoft отвори отново канала за бета...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!