Η Microsoft έχει υπογραμμίσει την ανάγκη για ασφάλεια των συσκευών λειτουργικής τεχνολογίας (OT) που είναι εκτεθειμένες στο διαδίκτυο, μετά από μια σειρά κυβερνοεπιθέσεων που στόχευσαν τέτοια περιβάλλοντα από τα τέλη του 2023.
«Οι επαναλαμβανόμενες επιθέσεις εναντίον συσκευών OT υπογραμμίζουν την επιτακτική ανάγκη για ενίσχυση της ασφάλειας των συσκευών αυτών, ώστε να αποφευχθεί η μετατροπή κρίσιμων συστημάτων σε εύκολους στόχους», δήλωσε η ομάδα της Microsoft Threat Intelligence.
Δείτε περισσότερα: Microsoft Office: Πειρατικές εκδόσεις διανέμουν malware
Η εταιρεία ανέφερε ότι μια κυβερνοεπίθεση σε ένα σύστημα OT θα μπορούσε να επιτρέψει σε κακόβουλους παράγοντες να παραβιάσουν κρίσιμες παραμέτρους που χρησιμοποιούνται σε βιομηχανικές διαδικασίες. Αυτό θα μπορούσε να συμβεί είτε μέσω προγραμματισμού του προγραμματιζόμενου ελεγκτή λογικής (PLC) είτε με τη χρήση των γραφικών στοιχείων ελέγχου της διεπαφής ανθρώπου-μηχανής (HMI). Το αποτέλεσμα θα ήταν δυσλειτουργίες και διακοπές λειτουργίας του συστήματος.
Αναφέρθηκε επίσης ότι τα συστήματα OT συχνά στερούνται επαρκών μηχανισμών ασφαλείας, καθιστώντας τα ευάλωτα σε επιθέσεις από αντιπάλους, οι οποίες είναι «σχετικά εύκολο να εκτελεστούν». Η κατάσταση επιδεινώνεται ακόμη περισσότερο από τους πρόσθετους κινδύνους που προκύπτουν από την απευθείας σύνδεση συσκευών OT στο διαδίκτυο.
Αυτό όχι μόνο καθιστά τις συσκευές ανιχνεύσιμες από τους hackers μέσω εργαλείων σάρωσης στο διαδίκτυο, αλλά τις μετατρέπει και σε όπλα για να αποκτήσουν αρχική πρόσβαση, εκμεταλλευόμενοι αδύναμους κωδικούς πρόσβασης ή απαρχαιωμένο λογισμικό με γνωστές ευπάθειες.
Μόλις την περασμένη εβδομάδα, η Rockwell Automation εξέδωσε μια ανακοίνωση, προτρέποντας τους πελάτες της να αποσυνδέσουν όλα τα συστήματα βιομηχανικού ελέγχου (ICS) που δεν προορίζονται για σύνδεση στο δημόσιο διαδίκτυο. Η σύσταση αυτή έγινε λόγω των αυξημένων γεωπολιτικών εντάσεων και της εντατικοποίησης της δραστηριότητας στον κυβερνοχώρο παγκοσμίως.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) εξέδωσε ενημερωτικό δελτίο, προειδοποιώντας για φιλορώσους hacktivists που στοχεύουν ευάλωτα συστήματα βιομηχανικού ελέγχου στη Βόρεια Αμερική και την Ευρώπη.
«Συγκεκριμένα, οι hacktivists αυτοί, χειραγωγούσαν τα HMI, οδηγώντας σε υπέρβαση των κανονικών παραμέτρων λειτουργίας για τις αντλίες νερού», ανέφερε η υπηρεσία. «Σε κάθε περίπτωση, οι hacktivists μεγιστοποίησαν τα σημεία ρύθμισης, τροποποίησαν άλλες παραμέτρους, απενεργοποίησαν μηχανισμούς συναγερμού και άλλαξαν κωδικούς πρόσβασης διαχείρισης, κλειδώνοντας έτσι τους χειριστές WWS».
Η Microsoft ανέφερε ότι η έναρξη του πολέμου Ισραήλ-Χαμάς τον Οκτώβριο του 2023 προκάλεσε αύξηση των κυβερνοεπιθέσεων σε λανθασμένα ασφαλισμένα OT περιουσιακά στοιχεία ισραηλινών εταιρειών που ήταν εκτεθειμένα στο διαδίκτυο. Πολλές από αυτές τις επιθέσεις πραγματοποιήθηκαν από ομάδες όπως οι Cyber Av3ngers, οι Soldiers of Solomon, και οι Abnaa Al-Saada, οι οποίες συνδέονται με το Ιράν.
Σύμφωνα με το Redmond, οι επιθέσεις στόχευσαν εξοπλισμό OT που αναπτύχθηκε σε διάφορους τομείς στο Ισραήλ, κατασκευασμένο τόσο από διεθνείς προμηθευτές όσο και από τοπικούς κατασκευαστές με εγκαταστάσεις σε άλλες χώρες.
Διαβάστε ακόμη: Η Russian Cyber Army ισχυρίζεται κυβερνοεπίθεση κατά της εταιρείας υποδομής λιμένων της Βουλγαρίας
Αυτές οι συσκευές OT είναι κυρίως συστήματα εκτεθειμένα στο διαδίκτυο με ανεπαρκή ασφάλεια. Συχνά συνοδεύονται από αδύναμους κωδικούς πρόσβασης και γνωστά τρωτά σημεία, όπως ανέφερε ο τεχνολογικός γίγαντας.
Για να μειώσουν τους κινδύνους από τέτοιες απειλές, οι οργανισμοί θα πρέπει να διασφαλίζουν την ασφάλεια των συστημάτων OT τους. Αυτό περιλαμβάνει τη μείωση της επιφάνειας επίθεσης και την εφαρμογή πρακτικών μηδενικής εμπιστοσύνης, ώστε να αποτρέπουν τους hackers από το να κινηθούν πλευρικά μέσα σε ένα παραβιασμένο δίκτυο.
Η εξέλιξη σημειώθηκε όταν η εταιρεία ασφαλείας OT Claroty αποκάλυψε ένα καταστροφικό είδος κακόβουλου λογισμικού, το Fuxnet. Η ομάδα hacking Blackjack, που φέρεται να υποστηρίζεται από την Ουκρανία, φέρεται να το χρησιμοποίησε εναντίον της Moscollector, μιας ρώσικης εταιρείας που διαχειρίζεται ένα εκτεταμένο δίκτυο αισθητήρων για την παρακολούθηση των υπόγειων υδάτων και των συστημάτων λυμάτων της Μόσχας, καθώς και των συστημάτων ανίχνευσης και απόκρισης έκτακτης ανάγκης.
Το BlackJack, το οποίο κοινοποίησε λεπτομέρειες της επίθεσης στις αρχές του προηγούμενου μήνα, περιέγραψε το Fuxnet ως “Stuxnet on steroids”. Ο Claroty σημείωσε ότι το κακόβουλο λογισμικό πιθανότατα αναπτύχθηκε εξ αποστάσεως στις πύλες αισθητήρων στόχου, χρησιμοποιώντας πρωτόκολλα όπως το SSH ή το πρωτόκολλο αισθητήρα (SBK) μέσω της θύρας 4321.
Το Fuxnet έχει τη δυνατότητα να καταστρέφει αμετάκλητα το σύστημα αρχείων, να εμποδίζει την πρόσβαση στη συσκευή και να καταστρέφει τα chip μνήμης NAND, γράφοντας συνεχώς στη μνήμη, ώστε να την καταστήσει αχρησιμοποίητη.
Επιπλέον, είναι σχεδιασμένο να ξαναγράφει τον τόμο UBI για να αποτρέπει την επανεκκίνηση του αισθητήρα και τελικά να καταστρέφει τους ίδιους τους αισθητήρες, στέλνοντας μια πλημμύρα από ψευδή μηνύματα Meter-Bus (M-Bus).
“Οι hackers ανέπτυξαν κακόβουλο λογισμικό που στόχευε στις πύλες, διαγράφοντας συστήματα αρχείων και καταλόγους, απενεργοποιώντας υπηρεσίες απομακρυσμένης πρόσβασης και δρομολόγησης για κάθε συσκευή, επανεγγράφοντας τη μνήμη flash, καταστρέφοντας chip μνήμης NAND και τόμους UBI, και προκαλώντας άλλες ενέργειες που διατάραξαν περαιτέρω τη λειτουργία αυτών των πυλών”, σημείωσε ο Κλαρότι.
Σύμφωνα με τα δεδομένα που δημοσίευσε η ρωσική εταιρεία κυβερνοασφάλειας Kaspersky νωρίτερα αυτή την εβδομάδα, το διαδίκτυο, οι πελάτες ηλεκτρονικού ταχυδρομείου και οι αφαιρούμενες συσκευές αποθήκευσης αναδείχθηκαν ως οι κύριες πηγές απειλών για τους υπολογιστές στην υποδομή OT ενός οργανισμού κατά το πρώτο τρίμηνο του 2024.
Δείτε επίσης: Microsoft: Οι Βορειοκορεάτες hackers Moonstone Sleet συνδέονται με το νέο ransomware FakePenny
“Κακόβουλοι παράγοντες χρησιμοποιούν σενάρια για ποικίλους σκοπούς: συλλογή πληροφοριών, παρακολούθηση, ανακατεύθυνση των προγραμμάτων περιήγησης σε κακόβουλους ιστότοπους και ανέβασμα διαφόρων τύπων κακόβουλου λογισμικού (λογισμικό κατασκοπείας και/ή εργαλεία σιωπηλής εξόρυξης κρυπτονομισμάτων) στο σύστημα ή το πρόγραμμα περιήγησης του χρήστη,” δήλωσε. «Αυτά διαδίδονται μέσω του διαδικτύου και των email».
Πηγή: thehackernews
 που είναι εκτεθειμένες στο διαδίκτυο, μετά από μια σειρά κυβερνοεπιθέσεων που στόχευσαν τέτοια περιβάλλοντα από τα τέλη του 2023.){kind=link}