EUA alertam setor de infraestrutura crítica sobre malware

EUA alertam setor de infraestrutura crítica sobre malware que pode assumir o controle total dos sistemas.

As agências dos EUA não identificaram os agentes das ameaças, mas as empresas de segurança cibernética acreditam que alguns dos malwares descobertos estão ligados à Rússia.

As agências governamentais dos EUA emitiram um aviso conjunto dia 13 de abril dizendo que os hackers criaram ferramentas personalizadas que podem ter como alvo vários sistemas de controle industrial (ICS) e obter “acesso total ao sistema”.

O Departamento de Energia dos EUA, a Agência de Segurança Cibernética e de Infraestrutura (CISA), a Agência de Segurança Nacional e o FBI não identificaram os atores da ameaça em seu alerta conjunto . No entanto, as empresas de segurança cibernética que contribuíram para o alerta acreditam que alguns dos malwares descobertos podem estar ligados à Rússia.

As agências instaram as organizações de infraestrutura crítica, particularmente as envolvidas em energia, a tomar medidas como autenticação multifator e alterações consistentes de senha para proteger seus sistemas de controle.

Alguns dos dispositivos que podem ser afetados incluem controladores lógicos programáveis ​​(CLPs – programmable logic controllers) fabricados pela Schneider Electric e pela Omron. Um porta-voz da Schneider disse à Reuters que trabalhou com autoridades dos EUA e chamou de “um exemplo de colaboração bem-sucedida para impedir ameaças em infraestrutura crítica antes que ocorram”.

Agência de Segurança Cibernética instou as organizações de infraestrutura crítica, “especialmente organizações do setor de energia”, a implementar uma série de recomendações destinadas a bloquear e detectar a arma cibernética, chamada Pipedream.

Novo malware

A Mandiant é uma das empresas que trabalhou com as agências norte-americanas nesta assessoria. A empresa de segurança cibernética compartilhou detalhes de um conjunto de ferramentas de ataque ICS, que chamou de Incontroller. Ele disse que isso representa “uma capacidade de ataque cibernético excepcionalmente rara e perigosa” e comparou malwares como Triton, Industroyer e Stuxnet.

O Industroyer foi usado no final de 2016 para  derrubar a Ukrenergo , fornecedora de energia na Ucrânia, e cortar a energia no país. Uma variante modificada foi usada em um ataque cibernético nas semanas anteriores e teve como alvo a rede elétrica da Ucrânia .

Mandiant disse que é “muito provável” que o Incontroller seja patrocinado pelo Estado, dada sua complexidade e sua “utilidade limitada em operações motivadas financeiramente”. A empresa de segurança cibernética disse que não conseguiu conectar o malware a um grupo conhecido, mas disse que a atividade é “consistente com o interesse histórico da Rússia no ICS”.

“Embora nossas evidências que conectam o Incontroller à Rússia sejam em grande parte circunstanciais, notamos isso devido ao histórico de ataques cibernéticos destrutivos da Rússia, sua atual invasão da Ucrânia e ameaças relacionadas contra a Europa e a América do Norte”, disse Mandiant em seu relatório .

Outra empresa de segurança cibernética, Dragos, divulgou um relatório sobre uma estrutura modular de ataque ICS chamada Pipedream, que disse ter sido criada por um grupo chamado Chernovite.

“Enquanto a Chernovite visa especificamente os PLCs da Schneider Electric e da Omron, pode haver outros módulos direcionados a outros fornecedores também, e a funcionalidade da Pipedream pode funcionar em centenas de controladores diferentes”, disse Dragos em seu relatório .

Esta não é a primeira vez que os EUA emitem alertas sobre possíveis ataques cibernéticos. No mês passado, o presidente dos EUA, Joe Biden, alertou as empresas que operam no país para reforçar seus esforços de segurança cibernética, pois “inteligência em evolução” sugeria que a Rússia estava planejando ataques cibernéticos visando infraestrutura crítica nos EUA.

Em  um comunicado conjunto na semana anterior, o FBI e a CISA alertaram as organizações para ficarem em alerta e reforçarem sua segurança de autenticação multifatorial depois de revelar detalhes de como hackers patrocinados pelo Estado na Rússia conseguiram obter acesso à rede de uma ONG não identificada.

No início do mesmo mês, as empresas de segurança cibernética dos EUA Cloudflare, CrowdStrike e Ping Identity uniram as mãos  para oferecer muitos de seus produtos e serviços para organizações de infraestrutura crítica dos EUA gratuitamente, antecipando possíveis ataques cibernéticos provenientes de Moscou.

Embora a Ucrânia tenha sofrido o peso dos  ataques cibernéticos da Rússia nos últimos meses, os EUA não foram poupados de ameaças. A Bloomberg informou no início de março que mais de 100 funcionários de quase duas dúzias de empresas de gás natural nos EUA foram invadidos por atores russos.

Fonte: Reuters & SiliconReplubic

Veja também:

• Hackers usam atualização falsa do Win11 para roubar carteiras de criptomoedas
• iPhone com zero clique recém-descoberta usada em ataques de spyware
• Golpistas de olho no MetaMask: como você pode se manter seguro?
• Ransomware chama atenção mas BEC lidera
• Olhando dentro da caixa de Pandora
• A colaboração é crucial para combater o cibercrime
• Vulnerabilidades apontam importância de APIs.
• Você está cuidando bem de seus perfis nas redes sociais?
• O caos (e o custo) provado pelos hackers da Lapsus$
• Consumer Authentication Strength Maturity Model (CASMM) V6
• Como demonstro o ROI do meu programa de segurança?
• Fortinet lança FortiOS 7.2