En Abril 13, el gobierno de estados unidos (específicamente, el Departamento de Energía, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Agencia de Seguridad Nacional, y la Oficina Federal de Investigaciones) hecho una advertencia acerca de actor de amenaza del estado-nacións utilizando malware especializado para acceder sistemas de control industriales (ICS) y control de supervisión y Adquisición de Datos (SCADA) dispositivos.
Actores de amenazas del Estado-nación en una notificación de advertencia gubernamental
Los actores avanzados de amenazas persistentes, como dice la alerta, utilizar software personalizado para atacar dispositivos ICS y SCADA. Estos instrumentos permiten encontrar los dispositivos objetivo., comprometiéndolos, y tomar control sobre ellos una vez que se establezca el acceso a la red de tecnología operativa.
Las herramientas especialmente diseñadas están diseñadas específicamente para atacar Arquitectura unificada de comunicaciones de plataforma abierta (OPC-UA) servidores, Schneider Electric controladores lógicos programables (PLC,) y PLC OMRON Sysmac NEX.
Según el documento, Los actores de amenazas también pueden infiltrarse en las estaciones de trabajo de ingeniería basadas en Windows de las redes de tecnología operativa e informativa.. Esto es posible con el uso de un exploit de CVE-2020-15368 Vulnerabilidades relacionadas con el controlador de la placa base AsrDrv103.sys. El conductor puede verse comprometido, lo que lleva a la ejecución de código malicioso en el núcleo de Windows. Los infiltrados pretenden aumentar los privilegios y, moviéndose lateralmente dentro de las redes del sistema de control industrial., crear desvíos en electricidad y gas natural suministro y distribucion.
Informe Dragos y escala de la amenaza
Los especialistas en dragos, una empresa de ciberseguridad industrial, he descrito1 lo recientemente revelado PIPEDREAM malware como marco de ataque modular que puede causar "interrupción, degradación, y posiblemente incluso destrucción, dependiendo de los objetivos y el entorno”.
Roberto M.. Sotavento, CEO en Dragos, ha declarado que PIPEDREAM está conectado con el actor-estado-nación bajo el sobrenombre de CHERNOVITE. Lee afirma que es la primera vez que se descubre software malicioso con capacidades tan destructivas antes de su uso real..
El PIPEDREAM es un programa complejo cuyos cinco elementos constitutivos son responsables de diferentes objetivos. El malware está diseñado para detectar y secuestrar dispositivos., comprometer los controladores lógicos programables, y perturbarlos, poner en peligro el correcto funcionamiento de los objetos industriales. Si PIPEDREAM se utilizara contra los sistemas industriales existentes, las consecuencias serían impredecibles hasta catastróficas.
Pipedream es un malware destinado a la destrucción física
El malware en cuestión utiliza exploits con varias funciones altamente automatizadas. Diferentes módulos de PIPEDREAM inyectan configuraciones nocivas en los dispositivos, alterar sus parametros, y gestionar el contenido de los dispositivos.
CODESYS, un entorno de desarrollo para programas de controlador, demostró tener al menos diecisiete vulnerabilidades potencialmente explotables por piratas informáticos. PIPEDREAM también es capaz de comprometer CODESYS.
La posibilidad misma de que los secuestradores alteren la configuración de los controladores programables de las industrias es terrible. Dragos advierte sobre una opción de los terroristas para desestabilizar el entorno operativo mediante deshabilitar el apagado de emergencia. si eso ocurriera, el sistema atacado se volvería crítico e inestable.
Informe Mandiant y orígenes de Pipedream
mandante, una empresa de inteligencia de amenazas, proporcionó un informe que coincide con el de Dragos. en su mensaje, Mandiant describe PIPEDREAM (también conocido como INCONTROLADOR) como malware diseñado para atacar específicamente los sistemas de automatización de Schneider Electric y Omron.
Schneider Electric, a su vez, reportado2 que no había evidencia de vulnerabilidades que pudieran haber sido aprovechadas por PIPEDREAM ni se detectaron ataques a los dispositivos de la empresa. Sin embargo, la empresa admitió que el nivel de amenaza era preocupante y agregó la sección "mitigaciones recomendadas" a la notificación para que todos los clientes la cumplieran..
La pista lleva a Rusia
Aparentemente, el origen de la información sobre PIPEDREAM es la guerra ruso-ucraniana. El choque se desarrolla no sólo en el terreno sino también en la Red3. Tras un fallido ataque de piratas informáticos a un proveedor de energía ucraniano, empresa de ciberseguridad ESET4 ha dado una descripción detallada de cómo INDUSTRIA2 el malware funcionó. Posiblemente, Esa información ayudó a Dragos y Mandiant a detectar y analizar otro programa malicioso. – PIPEDREAM.
El malware en disputa ahora está a la par de Stuxnet, tenerx, industrial 1 y 2, Tritón, y BlackEnergy2: herramientas maliciosas diseñadas contra sistemas de control industrial vitales.
Como contramedida ante posibles amenazas, Las agencias de ciberseguridad recomiendan encarecidamente a las organizaciones de control industrial que aumentar todas las medidas de seguridad. Estas son reglas bien conocidas.: 2-autenticación de factores, sin contraseñas autocompletadas, cambiar contraseñas, y vigilancia general contra posibles acciones invasivas.
- en su dedicado informe.
- Schneider Electric Boletín de seguridad sobre herramientas cibernéticas de APT dirigidas a dispositivos ICS/SCADA (Abril 13, 2022).
- La guerra contra los hackers rusos que Estados Unidos ha estado librando aparentemente ha entrado en una fase más intensa a medida que estalló la guerra en Ucrania.. Los pasos decisivos en esta lucha son las operaciones policiales para apoderarse RaidForos, un gran foro de la comunidad de hackers, y el Hidra, un mercado ilegal en la red oscura en ruso. Además, Estados Unidos tiene cooperación abandonada con Rusia para erradicar el ransomware.
- CERTIFICADO, el Equipo de Respuesta a Emergencias Informáticas de Ucrania, agradeció a ESET por ayudarlo a repeler la ofensiva de piratería en su informe sobre el ciberataque fallido de marzo 23, 2022.