A Microsoft destacou a necessidade de garantir dispositivos de tecnologia operacional (TO) expostos à internet, após uma série de ataques cibernéticos direcionados a esses ambientes desde o final de 2023.
“Esses ataques repetidos contra os dispositivos de TO destacam a necessidade crucial de melhorar a postura de segurança dos dispositivos de TO e evitar que sistemas críticos se tornem alvos fáceis”, disse a equipe de Inteligência de Ameaças da Microsoft.
A empresa observou que um ataque cibernético a um sistema de TO poderia permitir que atores maliciosos alterassem parâmetros críticos usados em processos industriais, seja programaticamente via controlador lógico programável (CLP) ou usando os controles gráficos da interface homem-máquina (IHM), resultando em mau funcionamento e paralisações do sistema.
A Microsoft acrescentou que os sistemas de TO frequentemente carecem de mecanismos de segurança adequados, o que os torna propícios à exploração por adversários e à realização de ataques “relativamente fáceis de executar”, fato agravado pelos riscos adicionais introduzidos ao conectar diretamente os dispositivos de TO à internet.
Isso não apenas torna os dispositivos descobertos por atacantes por meio de ferramentas de escaneamento da internet, mas também os torna suscetíveis a serem usados para obter acesso inicial tirando proveito de senhas de login frágeis ou software desatualizado com vulnerabilidades conhecidas.
Na semana passada, a Rockwell Automation emitiu um aviso urgindo seus clientes a desconectar todos os sistemas de controle industrial (ICSs) que não deveriam ser conectados à internet de acesso público devido às “tensões geopolíticas elevadas e à atividade cibernética adversária global”.
A Agência de Segurança e Infraestrutura Cibernética dos EUA também lançou um boletim alertando sobre hacktivistas pró-Rússia visando sistemas de controle industrial vulneráveis na América do Norte e Europa.
Especificamente, hacktivistas pró-Rússia manipularam IHMs, fazendo com que bombas de água e equipamentos insufladores excedessem seus parâmetros normais de operação. Em cada caso, os hacktivistas maximizaram os pontos de ajuste, alteraram outras configurações, desativaram mecanismos de alarme e alteraram senhas administrativas para bloquear os operadores do WWS.
Para mitigar os riscos representados por essas ameaças, é recomendado que as organizações garantam a higiene de segurança de seus sistemas de TO, especificamente reduzindo a superfície de ataque e implementando práticas de confiança zero para impedir que os atacantes se movimentem lateralmente dentro de uma rede comprometida.
