Microsoft подчеркнула необходимость обеспечения безопасности устройств с операционными технологиями, подключенными к Интернету (OT), после волны кибератак, нацеленных на такие среды, с конца 2023 года.
"Эти повторяющиеся атаки на устройства OT подчеркивают настоятельную необходимость повышения уровня безопасности устройств OT и предотвращения превращения критически важных систем в легкие мишени", - заявили в Microsoft Threat Intelligence Team.
Компания отметила, что кибератака на систему OT может позволить злоумышленникам изменять критически важные параметры, используемые в промышленных процессах, либо программно через программируемый логический контроллер (PLC), либо с использованием графических элементов управления человеко-машинного интерфейса (HMI), что приводит к сбоям в работе и перебоям в работе системы.
Далее говорится, что в системах OT часто отсутствуют адекватные механизмы безопасности, что делает их пригодными для использования злоумышленниками и выполнения атак, которые "относительно легко выполнить", что усугубляется дополнительными рисками, возникающими при прямом подключении устройств OT к Интернету.
Это не только делает устройства доступными для обнаружения злоумышленниками с помощью инструментов интернет-сканирования, но и позволяет использовать их в качестве оружия для получения первоначального доступа, используя слабые пароли для входа или устаревшее программное обеспечение с известными уязвимостями.
Буквально на прошлой неделе Rockwell Automation выпустила рекомендацию, призывающую своих клиентов отключить все промышленные системы управления (ICSS), не предназначенные для подключения к общедоступному Интернету, из-за "повышенной геополитической напряженности и враждебной киберактивности по всему миру".
Агентство кибербезопасности и инфраструктуры США (CISA) также выпустило собственный бюллетень с предупреждением о пророссийских хактивистах, нацеленных на уязвимые промышленные системы управления в Северной Америке и Европе.
"В частности, пророссийские хактивисты манипулировали HMI, в результате чего водяные насосы и воздуходувное оборудование превышали свои обычные рабочие параметры", - сообщило агентство. "В каждом случае хактивисты превышали установленные значения, изменяли другие настройки, отключали механизмы сигнализации и меняли административные пароли, чтобы заблокировать операторов WWS".
Далее Microsoft заявила, что начало войны между Израилем и ХАМАС в октябре 2023 года привело к всплеску кибератак на уязвимые для Интернета, плохо защищенные OT-активы, разработанные израильскими компаниями, причем многие из них проводились такими группами, как Cyber Av3ngers, Soldiers of Solomon и Abnaa Al-Saada, которые связаны с Ираном.
Согласно Редмонду, в ходе атак было выделено оборудование OT, размещенное в различных секторах Израиля, произведенное международными поставщиками, а также то, которое было поставлено из Израиля, но развернуто в других странах.
Эти OT-устройства представляют собой "в первую очередь OT-системы, подключенные к Интернету, с низким уровнем безопасности, потенциально сопровождающиеся слабыми паролями и известными уязвимостями, добавил технический гигант.
Для снижения рисков, связанных с такими угрозами, организациям рекомендуется обеспечить безопасность своих систем OT, в частности, за счет сокращения поверхности атаки и внедрения практики нулевого доверия, чтобы злоумышленники не могли перемещаться вбок в скомпрометированной сети.
Это стало известно после того, как охранная фирма Claroty распаковала вредоносное ПО под названием Fuxnet, которое хакерская группа Blackjack, предположительно поддерживаемая Украиной, предположительно использовала против Moscollector, российской компании, которая обслуживает большую сеть датчиков для мониторинга подземных вод и канализационных систем Москвы для обнаружения чрезвычайных ситуаций и реагирования на них.
Компания BlackJack, которая поделилась подробностями атаки в начале прошлого месяца, описала Fuxnet как "Stuxnet на стероидах", при этом Клароти отметил, что вредоносное ПО, вероятно, было удаленно внедрено на целевые сенсорные шлюзы с использованием таких протоколов, как SSH или sensor protocol (SBK) через порт 4321.
Fuxnet предоставляет возможность безвозвратно уничтожать файловую систему, блокировать доступ к устройству и физически уничтожать микросхемы памяти NAND на устройстве путем постоянной записи и перезаписи памяти, чтобы сделать ее неработоспособной.
Кроме того, он предназначен для перезаписи тома UBI, чтобы предотвратить перезагрузку датчика, и в конечном итоге повреждает сами датчики, отправляя поток поддельных сообщений Meter-Bus (M-Bus).
"Злоумышленники разработали и внедрили вредоносное ПО, нацеленное на шлюзы, и удалили файловые системы, каталоги, отключили службы удаленного доступа, службы маршрутизации для каждого устройства, а также переписали флэш-память, уничтожили чипы памяти NAND, тома UBI и другие действия, которые еще больше нарушили работу этих шлюзов", - отметил Клароти.
Согласно данным, которыми российская компания по кибербезопасности Kaspersky поделилась ранее на этой неделе, интернет, почтовые клиенты и съемные устройства хранения данных стали основными источниками угроз компьютерам в инфраструктуре OT организации в первом квартале 2024 года.
"Злоумышленники используют скрипты для широкого спектра целей: сбора информации, отслеживания, перенаправления браузера на вредоносный сайт и загрузки различных типов вредоносного ПО (шпионского ПО и / или инструментов беззвучного криптодобычи) в систему или браузер пользователя", - говорится. "Они распространяются через Интернет и электронную почту".
"Эти повторяющиеся атаки на устройства OT подчеркивают настоятельную необходимость повышения уровня безопасности устройств OT и предотвращения превращения критически важных систем в легкие мишени", - заявили в Microsoft Threat Intelligence Team.
Компания отметила, что кибератака на систему OT может позволить злоумышленникам изменять критически важные параметры, используемые в промышленных процессах, либо программно через программируемый логический контроллер (PLC), либо с использованием графических элементов управления человеко-машинного интерфейса (HMI), что приводит к сбоям в работе и перебоям в работе системы.
Далее говорится, что в системах OT часто отсутствуют адекватные механизмы безопасности, что делает их пригодными для использования злоумышленниками и выполнения атак, которые "относительно легко выполнить", что усугубляется дополнительными рисками, возникающими при прямом подключении устройств OT к Интернету.
Это не только делает устройства доступными для обнаружения злоумышленниками с помощью инструментов интернет-сканирования, но и позволяет использовать их в качестве оружия для получения первоначального доступа, используя слабые пароли для входа или устаревшее программное обеспечение с известными уязвимостями.
Буквально на прошлой неделе Rockwell Automation выпустила рекомендацию, призывающую своих клиентов отключить все промышленные системы управления (ICSS), не предназначенные для подключения к общедоступному Интернету, из-за "повышенной геополитической напряженности и враждебной киберактивности по всему миру".
Агентство кибербезопасности и инфраструктуры США (CISA) также выпустило собственный бюллетень с предупреждением о пророссийских хактивистах, нацеленных на уязвимые промышленные системы управления в Северной Америке и Европе.
"В частности, пророссийские хактивисты манипулировали HMI, в результате чего водяные насосы и воздуходувное оборудование превышали свои обычные рабочие параметры", - сообщило агентство. "В каждом случае хактивисты превышали установленные значения, изменяли другие настройки, отключали механизмы сигнализации и меняли административные пароли, чтобы заблокировать операторов WWS".
Далее Microsoft заявила, что начало войны между Израилем и ХАМАС в октябре 2023 года привело к всплеску кибератак на уязвимые для Интернета, плохо защищенные OT-активы, разработанные израильскими компаниями, причем многие из них проводились такими группами, как Cyber Av3ngers, Soldiers of Solomon и Abnaa Al-Saada, которые связаны с Ираном.
Согласно Редмонду, в ходе атак было выделено оборудование OT, размещенное в различных секторах Израиля, произведенное международными поставщиками, а также то, которое было поставлено из Израиля, но развернуто в других странах.
Эти OT-устройства представляют собой "в первую очередь OT-системы, подключенные к Интернету, с низким уровнем безопасности, потенциально сопровождающиеся слабыми паролями и известными уязвимостями, добавил технический гигант.
Для снижения рисков, связанных с такими угрозами, организациям рекомендуется обеспечить безопасность своих систем OT, в частности, за счет сокращения поверхности атаки и внедрения практики нулевого доверия, чтобы злоумышленники не могли перемещаться вбок в скомпрометированной сети.
Это стало известно после того, как охранная фирма Claroty распаковала вредоносное ПО под названием Fuxnet, которое хакерская группа Blackjack, предположительно поддерживаемая Украиной, предположительно использовала против Moscollector, российской компании, которая обслуживает большую сеть датчиков для мониторинга подземных вод и канализационных систем Москвы для обнаружения чрезвычайных ситуаций и реагирования на них.
Компания BlackJack, которая поделилась подробностями атаки в начале прошлого месяца, описала Fuxnet как "Stuxnet на стероидах", при этом Клароти отметил, что вредоносное ПО, вероятно, было удаленно внедрено на целевые сенсорные шлюзы с использованием таких протоколов, как SSH или sensor protocol (SBK) через порт 4321.
Fuxnet предоставляет возможность безвозвратно уничтожать файловую систему, блокировать доступ к устройству и физически уничтожать микросхемы памяти NAND на устройстве путем постоянной записи и перезаписи памяти, чтобы сделать ее неработоспособной.
Кроме того, он предназначен для перезаписи тома UBI, чтобы предотвратить перезагрузку датчика, и в конечном итоге повреждает сами датчики, отправляя поток поддельных сообщений Meter-Bus (M-Bus).
"Злоумышленники разработали и внедрили вредоносное ПО, нацеленное на шлюзы, и удалили файловые системы, каталоги, отключили службы удаленного доступа, службы маршрутизации для каждого устройства, а также переписали флэш-память, уничтожили чипы памяти NAND, тома UBI и другие действия, которые еще больше нарушили работу этих шлюзов", - отметил Клароти.
Согласно данным, которыми российская компания по кибербезопасности Kaspersky поделилась ранее на этой неделе, интернет, почтовые клиенты и съемные устройства хранения данных стали основными источниками угроз компьютерам в инфраструктуре OT организации в первом квартале 2024 года.
"Злоумышленники используют скрипты для широкого спектра целей: сбора информации, отслеживания, перенаправления браузера на вредоносный сайт и загрузки различных типов вредоносного ПО (шпионского ПО и / или инструментов беззвучного криптодобычи) в систему или браузер пользователя", - говорится. "Они распространяются через Интернет и электронную почту".
