Sobre abril 13, o governo dos EUA (especificamente, o Departamento de Energia, a Agência de Segurança Cibernética e de Infraestrutura, a Agência de Segurança Nacional, e o Departamento Federal de Investigação) fez um aviso sobre ator de ameaça do estado-naçãoestá usando malware especializado para acessar sistemas de controle industriais (ICS) e controle de supervisão e aquisição de dados (SCADA) dispositivos.
Atores de ameaças do Estado-nação em uma notificação de alerta governamental
Os atores avançados de ameaças persistentes, como afirma o alerta, usar software personalizado para atacar dispositivos ICS e SCADA. Esses instrumentos permitem encontrar os dispositivos alvo, comprometendo-os, e assumir o controle sobre eles uma vez estabelecido o acesso à rede de tecnologia operacional.
As ferramentas especialmente adaptadas são projetadas especificamente para atacar Arquitetura unificada de comunicações de plataforma aberta (OPC UA) servidores, Schneider Elétrica controladores lógicos programáveis (CLPs,) e CLPs OMRON Sysmac NEX.
De acordo com o documento, os atores da ameaça também podem se infiltrar nas estações de trabalho de engenharia baseadas em Windows de redes de tecnologia informacional e operacional. Isso é possível com o uso de uma exploração de CVE-2020-15368 vulnerabilidades relacionadas ao driver da placa-mãe AsrDrv103.sys. O driver pode estar comprometido, levando à execução de código malicioso no núcleo do Windows. Os infiltrados pretendem aumentar privilégios e, movendo-se lateralmente dentro das redes do sistema de controle industrial, criar diversões em eletricidade e gás natural fornecimento e distribuição.
Relatório Dragos e escala da ameaça
Os especialistas em Dragos, uma empresa de segurança cibernética industrial, descreveram1 o recentemente revelado PIPEDREAM malware como uma estrutura de ataque modular que pode causar “interrupção, degradação, e possivelmente até destruição, dependendo dos objetivos e do ambiente.”
Roberto M.. Lee, CEO na Dragos, declarou que PIPEDREAM está conectado ao ator estatal-nação sob o apelido de CHERNOVITE. Lee afirma que é a primeira vez que software malicioso com tais capacidades destrutivas é descoberto antes de seu uso real..
O PIPEDREAM é um programa complexo cujos cinco elementos constituintes são responsáveis por diferentes objetivos. O malware é projetado para detectar e sequestrar dispositivos, comprometer os controladores lógicos programáveis, e perturbá-los, comprometendo o correto funcionamento dos objetos industriais. Se o PIPEDREAM fosse usado em sistemas industriais existentes, as consequências seriam imprevisíveis até catastróficas.
Pipedream é um malware que visa a destruição física
O malware em questão usa explorações de várias funções automatizadas em alto grau. Diferentes módulos do PIPEDREAM injetam configurações nocivas nos dispositivos, alterar seus parâmetros, e gerenciar o conteúdo dos dispositivos.
CODESYS, um ambiente de desenvolvimento para programas controladores, provou ter pelo menos dezessete vulnerabilidades potencialmente exploráveis por hackers. PIPEDREAM também é capaz de comprometer o CODESYS.
A própria possibilidade de sequestradores adulterarem as configurações dos controladores programáveis das indústrias é terrível. Dragos alerta sobre uma opção para os terroristas desestabilizarem o ambiente operacional, desabilitando o desligamento de emergência. Se isso ocorreu, o sistema atacado ficaria crítico e instável.
Relatório Mandiant e origens do Pipedream
Mandiant, uma empresa de inteligência de ameaças, forneceu um relatório que corresponde ao de Dragos. Em sua mensagem, Mandiant descreve PIPEDREAM (também conhecido como INCONTROLADOR) como malware projetado para atingir especificamente os sistemas de automação Schneider Electric e Omron.
Schneider Elétrica, por sua vez, relatado2 que não havia evidências de vulnerabilidades que pudessem ter sido exploradas pelo PIPEDREAM nem foram detectados ataques aos dispositivos da empresa. No entanto, a empresa admitiu que o nível de ameaça era preocupante e adicionou a seção “mitigações recomendadas” à notificação para que todos os clientes cumprissem.
O rastro leva à Rússia
Aparentemente, a origem das informações sobre PIPEDREAM é a guerra Russo-Ucraniana. O embate acontece não só no terreno, mas também na Rede3. Após um ataque de hacker mal sucedido a um fornecedor de energia ucraniano, empresa de segurança cibernética ESET4 forneceu uma descrição completa de como o INDUSTROYER2 malware funcionou. Possivelmente, essas informações ajudaram Dragos e Mandiant a detectar e dissecar outro programa malicioso – PIPEDREAM.
O malware contestado agora está no mesmo nível do Stuxnet, Havex, Industria 1 e 2, Tritão, e BlackEnergy2 – ferramentas maliciosas projetadas contra sistemas vitais de controle industrial.
Como contramedida contra possíveis ameaças, agências de segurança cibernética aconselham fortemente as organizações de controle industrial a aumentar todas as medidas de segurança. Estas são regras bem conhecidas: 2-autenticação de fator, sem preenchimento automático de senhas, alterando senhas, e vigilância geral contra possíveis ações invasivas.
- Em seu dedicado relatório.
- Schneider Elétrica Boletim de Segurança em ferramentas cibernéticas APT direcionadas a dispositivos ICS/SCADA (abril 13, 2022).
- A guerra contra os hackers russos que os EUA têm travado aparentemente entrou numa fase mais intensa com o início da guerra na Ucrânia.. Os passos decisivos nesta luta são as operações policiais de apreensão RaidFóruns, um grande fórum da comunidade de hackers, e a Hidra, um mercado ilegal de darknet em língua russa. Além disso, os EUA têm cooperação abandonada com a Rússia na erradicação do ransomware.
- CERTIFICADO, a Equipe de Resposta a Emergências Informáticas da Ucrânia, agradeceu à ESET por ajudá-la a repelir a ofensiva de hackers em seu relatório sobre o ataque cibernético fracassado em março 23, 2022.