A Rockwell Automation está incentivando seus clientes a desconectar todos os sistemas de controle industrial (ICSs) que não devem ser conectados à internet voltada para o público, a fim de mitigar atividades cibernéticas não autorizadas ou maliciosas.
A empresa afirmou que está emitindo o aviso devido a “tensões geopolíticas elevadas e atividades cibernéticas adversárias em todo o mundo”.
Nesse sentido, os clientes devem tomar medidas imediatas para determinar se possuem dispositivos acessíveis pela internet e, caso positivo, interromper a conectividade daqueles que não devem permanecer expostos.
“Os usuários nunca devem configurar seus ativos para serem diretamente conectados à internet voltada para o público”, acrescentou a Rockwell Automation.
“A remoção dessa conectividade como uma medida proativa reduz a superfície de ataque e pode imediatamente reduzir a exposição a atividades cibernéticas não autorizadas e maliciosas de atores externos.”
Além disso, as organizações devem garantir que tenham adotado as mitigação e patches necessários para garantir a segurança contra as seguintes falhas impactando seus produtos –
O alerta também foi compartilhado pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), que também recomenda que usuários e administradores sigam as medidas apropriadas detalhadas nas orientações para reduzir a exposição.
Isso inclui um aviso conjunto de 2020 divulgado pela CISA e pela Agência de Segurança Nacional (NSA) alertando para que atores maliciosos explorem ativos de tecnologia operacional (OT) acessíveis pela internet para realizar atividades cibernéticas que possam representar sérias ameaças à infraestrutura crítica.
“Atores cibernéticos, incluindo grupos de ameaças persistentes avançadas (APT), têm visado sistemas OT/ICS nos últimos anos para obter ganhos políticos, vantagens econômicas e possivelmente para executar efeitos destrutivos”, observou a NSA em setembro de 2022.
Adversários também foram observados se conectando a controladores lógicos programáveis (PLCs) de forma pública e modificando a lógica de controle para acionar comportamentos indesejados.
De fato, uma pesquisa recente apresentada por um grupo de acadêmicos do Instituto de Tecnologia da Geórgia no Simpósio NDSS em março de 2024 descobriu que é possível realizar um ataque no estilo Stuxnet comprometendo a aplicação web (ou interfaces homem-máquina) hospedadas pelos servidores web incorporados nos PLCs.
Isso envolve explorar a interface web do PLC usada para monitoramento remoto, programação e configuração para obter acesso inicial e depois aproveitar as APIs legítimas para sabotar a maquinaria real subjacente.
“Tais ataques incluem falsificação de leituras de sensores, desativação de alarmes de segurança e manipulação de atuadores físicos”, disseram os pesquisadores. “A emergência da tecnologia web em ambientes de controle industrial introduziu novas preocupações de segurança que não estão presentes no domínio de TI ou em dispositivos IoT de consumo.”
O novo malware baseado na web para PLC tem vantagens significativas sobre as técnicas de malware de PLC existentes, como independência de plataforma, facilidade de implementação e níveis mais altos de persistência, permitindo a um atacante realizar ações maliciosas de forma furtiva sem precisar implantar malware de lógica de controle.
Para garantir a segurança de redes OT e ICS, é aconselhável limitar a exposição de informações do sistema, auditar e proteger pontos de acesso remoto, restringir o acesso a ferramentas e scripts de aplicação de rede e sistemas de controle a usuários legítimos, realizar revisões de segurança periódicas e implementar um ambiente de rede dinâmico.
