Правителството на САЩ предупреждава, че проруски хактивисти търсят и хакват незащитени системи за оперативни технологии (ОТ), използвани за нарушаване на работата на критичната инфраструктура.

Съвместният съвет идва от шест американски правителствени агенции, включително CISA, FBI, NSA, EPA, DOE, USDA и FDA, както и от Многодържавния център за обмен на информация и анализ (MS-ISAC), Центъра за киберсигурност на Канада (CCCS) и Националния център за киберсигурност на Обединеното кралство (NCSC-UK).

Устройствата за ОТ са комбинация от хардуерни и софтуерни платформи, използвани за наблюдение и контрол на физически процеси или дейности в производството, критичната инфраструктура и други индустрии. Например водните централи използват OT устройства за управление на пречистването, разпределението и налягането на водата, за да осигурят непрекъснато и безопасно водоснабдяване.

В публикувана днес консултация правителството на САЩ предупреждава, че от 2022 г. насам проруските хактивисти се насочват към несигурни и неправилно конфигурирани OT устройства, за да нарушават работата или да създават „неприятни ефекти“.

„Дейността на проруските хактивисти срещу тези сектори изглежда се ограничава предимно до несложни техники, които манипулират ICS оборудването, за да създадат неудобни ефекти“, се казва в съвместната консултация.

„Въпреки това, разследванията установиха, че тези участници са способни на техники, които представляват физически заплахи срещу несигурни и неправилно конфигурирани OT среди.“

Правителството казва, че много от атаките са преувеличени, но някои скорошни атаки през 2024 г. са довели до малко повече смущения.

Проруска хактивистка група, известна като Киберармията на Русия, твърди, че стои зад атаки срещу пречиствателни станции и съоръжения за обработка на вода в Тексас и Индиана, както и срещу водна инфраструктура в Полша и Франция.

Докато водното съоръжение в Тексас потвърди, че атаката е довела до препълване на резервоар, от пречиствателната станция в Индиана заявиха пред CNN, че са били обект на атака, но не са били пробити.

Макар че Cyber Army и други групи твърдят, че са хактивисти, неотдавнашен доклад на Mandiant свърза групата с хакерите Sandworm –  напреднала постоянна заплаха, проследенa като APT44 и свързан с Главното разузнавателно управление (ГРУ) на Русия, външното военно разузнаване на страната.

Смекчаване на атаките срещу устройствата за ОТ

Консултантът предупреждава, че правителствените агенции са наблюдавали тези хакери да атакуват OT устройства чрез различни техники, като основно използват VNC:

• Използване на протокола VNC за достъп до човеко-машинни интерфейси (HMI) и извършване на промени в основните OT устройства. VNC се използва за отдалечен достъп до графични потребителски интерфейси, включително HMI, които управляват OT системи.
• Използване на протокола VNC Remote Frame Buffer Protocol за влизане в HMI, за да се управляват OT системи.
• Използване на VNC през порт 5900 за достъп до HMI чрез използване на идентификационни данни по подразбиране и слаби пароли на акаунти, които не са защитени с многофакторно удостоверяване.

За да се предпазите от тези атаки, консултацията предлага широк набор от стъпки, включително поставяне на HMI зад защитни стени, укрепване на VNC инсталациите, активиране на многофакторното удостоверяване, прилагане на най-новите актуализации за сигурност и промяна на паролите по подразбиране, както и повишаване на цялостната сигурност на ИТ средите.

„Тази година наблюдаваме как проруските хакери разширяват обхвата на своите цели, като включват уязвими северноамерикански и европейски системи за промишлен контрол“, заяви Дейв Любер, директор на отдел „Киберсигурност“ на NSA.

„NSA настоятелно препоръчва на администраторите на ОТ в организациите от критичната инфраструктура да приложат посочените в този доклад мерки за намаляване на риска, особено да променят всички пароли по подразбиране, за да подобрят своята позиция по отношение на киберсигурността и да намалят уязвимостта на системите си към този вид атаки.“