Недавно американские и международные агентства по кибербезопасности и правоохранительные органы выпустили совместный информационный бюллетень, призванный привлечь внимание к продолжающейся злонамеренной кибер-активности пророссийских хактивистов, нацеленной на организации с АСУ ТП Инфраструктурой в Северной Америке и Европе.
В годовщину атаки на Colonial Pipeline 7 мая группа кибербезопасности и правоохранительных органов США, Канады и Великобритании опубликовала информационный бюллетень, в котором предупредила, что пророссийские хактивисты атакуют и взламывают системы операционных технологий (OT) в североамериканском и европейском секторах, включая системы водоснабжения и водоотведения (WWS), плотины, энергетику, а также продовольствие и сельское хозяйство. Согласно документу, эта вредоносная активность наблюдается с 2022 года и до апреля 2024 года.
Это последнее предупреждение информирует о том, что у злоумышленников и национальных государств появились новые возможности сеять хаос, выводить из строя или отключать критически важную инфраструктуру, используя уязвимости в ИТ- и ОТ-системах.
Что нужно знать
В последние годы различные правительственные агентства предупреждают, что пророссийские хактивисты получают удаленный доступ к системам OT, используя открытые подключения к Интернету и устаревшее программное обеспечение для удаленного доступа Virtual Network Computing (VNC). Эти хактивисты также используют пароли пользователей к человеко-машинному интерфейсу (HMIs), установленные на заводе по умолчанию, а также слабые пароли без многофакторной аутентификации.
В последнем информационном бюллетене сообщается, что в начале 2024 года пророссийские хактивисты были замечены в использовании различных методов для получения удаленного доступа к программируемым терминалам и внесения изменений в базовую систему OT.
Эти методы включают:
- Использование протокола VNC для доступа к HMI и внесения изменений в базовые OT активы. VNC используется для удаленного доступа к графическим пользовательским интерфейсам, включая HMI, которые управляют OT-системами.
- Использование протокола VNC Remote Frame Buffer для входа в HMI для управления OT-системами.
- Использование VNC через порт 5900 для доступа к HMI с помощью стандартных учетных данных и слабых паролей на учетных записях, не защищенных многофакторной аутентификацией.
После манипуляций с их HMI жертвы сообщили об ограниченных физических нарушениях, связанных с превышением нормальных рабочих параметров водяных насосов и воздуходувного оборудования. В каждом случае хактивисты выставляли максимальные значения, изменяли другие настройки, отключали механизмы сигнализации и меняли административные пароли, чтобы заблокировать операторов WWS. У некоторых жертв-Заказчиков произошло незначительное переполнение резервуаров, но большинство из них сразу после этого вернулись к ручному управлению и быстро восстановили работу.
Что вам нужно сделать
В информационном бюллетене рекомендуется предпринять следующие действия:
- Немедленно измените все пароли по умолчанию для OT-устройств (включая PLCs и HMIs) и используйте надежные, уникальные пароли.
- Ограничить доступ ОТ-систем в Интернет.
- Внедрить многофакторную аутентификацию для всех видов доступа к сети OT.
Компания Tenable настоятельно рекомендует поставщикам услуг критической инфраструктуры следовать нескольким дополнительным базовым рекомендациям для предотвращения атак, например:
- Использовать криптографические ключи в дополнение к протоколам защиты паролем, таким как ротация паролей, для защиты удаленного доступа.
- Вести журнал и аудит сетевой активности подрядчиков и сотрудников ОТ для предотвращения атак на основе идентификационных данных и учетных данных.
Совместный информационный бюллетень опубликован Агентством по кибербезопасности и защите инфраструктуры (CISA), Федеральным бюро расследований (FBI), Агентством национальной безопасности (NSA), Агентством по охране окружающей среды (EPA), Министерством энергетики (DOE), Министерством сельского хозяйства США (USDA), Управлением по контролю за продуктами и лекарствами (FDA), Глобальным центром обмена информацией и анализа (MS-ISAC), Канадским центром кибербезопасности (CCCS) и Национальным центром кибербезопасности Соединенного Королевства (NCSC-UK).
Источник: As Pro-Russia Hactivists Target OT Systems, Here’s What You Need To Know
