A Rockwell Automation está alertando seus clientes a desconectar todos os sistemas de controle industrial (ICSs) que não devem estar conectados à internet voltada para o público a fim de mitigar atividades cibernéticas não autorizadas ou maliciosas. A empresa disse que emitiu o comunicado devido a “tensões geopolíticas elevadas e atividade cibernética adversária em escala global”.

Nesse sentido, os clientes devem tomar medidas imediatas para determinar se têm dispositivos acessíveis pela internet e, se sim, cortar a conectividade daqueles que não devem ficar expostos. “Os usuários nunca devem configurar seus ativos para serem conectados diretamente à internet voltada para o público”, acrescentou a Rockwell Automation.

“Remover essa conectividade como uma medida proativa reduz a superfície de ataque e pode imediatamente reduzir a exposição a atividades cibernéticas não autorizadas e maliciosas por atores de ameaças externas”.

Além disso, as organizações devem garantir que adotaram as mitigações e correções necessárias para se proteger contra as falhas a seguir que afetam seus produtos –

O alerta também foi compartilhado pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), que também está recomendando que usuários e administradores sigam as medidas apropriadas descritas no guia para reduzir a exposição.

Isso inclui um aviso de 2020 lançado em conjunto pela CISA e pela Agência de Segurança Nacional (NSA), alertando para atores maliciosos explorando ativos de tecnologia operacional (OT) acessíveis pela internet para conduzir atividades cibernéticas que poderiam representar ameaças graves à infraestrutura crítica.

“Cibercriminosos, incluindo grupos de ameaças persistentes avançadas (APT), têm visado sistemas OT/ICS nos últimos anos para obter ganhos políticos, vantagens econômicas e possivelmente para executar efeitos destrutivos”, observou a NSA em setembro de 2022.

Adversários também foram observados se conectando a controladores lógicos programáveis (PLCs) expostos publicamente e modificando a lógica de controle para acionar comportamentos indesejáveis.

De fato, pesquisas recentes apresentadas por um grupo de acadêmicos do Instituto de Tecnologia da Geórgia no Simpósio NDSS em março de 2024 descobriram que é possível realizar um ataque no estilo Stuxnet comprometendo a aplicação web (ou interfaces homem-máquina) hospedadas pelos servidores web embutidos nos PLCs.

Isso envolve explorar a interface baseada na web do PLC usada para monitoramento remoto, programação e configuração para obter acesso inicial e então aproveitar as interfaces de programação de aplicativos legítimos (APIs) para sabotar a maquinaria real subjacente.

“Ataques desse tipo incluem falsificação de leituras de sensores, desativação de alarmes de segurança e manipulação de atuadores físicos”, disseram os pesquisadores. “A emergência da tecnologia web em ambientes de controle industrial introduziu novas preocupações de segurança que não estão presentes no domínio de TI ou em dispositivos IoT de consumo”.

O novo malware baseado em PLC na web possui vantagens significativas em relação às técnicas de malware PLC existentes, como independência de plataforma, facilidade de implementação e níveis mais altos de persistência, permitindo que um invasor execute ações maliciosas de forma discreta sem a necessidade de implantar malware de lógica de controle.

Para garantir a segurança de redes OT e ICS, é aconselhável limitar a exposição de informações do sistema, auditar e proteger pontos de acesso remoto, restringir o acesso a ferramentas e scripts de rede e sistemas de controle para usuários legítimos, realizar revisões de segurança periódicas e implementar um ambiente de rede dinâmico.