A Rockwell Automation está incentivando seus clientes a desconectar todos os sistemas de controle industrial (ICSs) que não devem estar conectados à internet pública para mitigar atividades cibernéticas não autorizadas ou maliciosas.
A empresa declarou que está emitindo o aviso devido a “tensões geopolíticas elevadas e atividades cibernéticas adversárias em todo o mundo”.
Nesse sentido, os clientes devem tomar uma ação imediata para determinar se possuem dispositivos acessíveis pela internet e, se sim, cortar a conectividade para aqueles que não devem ser expostos.
“Os usuários nunca devem configurar seus ativos para serem diretamente conectados à internet pública”, acrescentou a Rockwell Automation.
“Remover essa conectividade como uma medida proativa reduz a superfície de ataque e pode imediatamente reduzir a exposição a atividades cibernéticas não autorizadas e maliciosas de atores de ameaças externas”.
Além disso, as organizações devem garantir que adotaram as mitigações e correções necessárias para se proteger contra as falhas que afetam seus produtos.
O alerta também foi compartilhado pela Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), que também recomenda que os usuários e administradores sigam as medidas apropriadas para reduzir a exposição.
Isso inclui um aviso de 2020 divulgado conjuntamente pela CISA e pela Agência de Segurança Nacional (NSA) alertando para atores maliciosos explorando ativos de tecnologia operacional acessíveis pela internet para conduzir atividades cibernéticas que poderiam representar severas ameaças à infraestrutura crítica.
Os adversários também foram observados se conectando a PLCs expostos publicamente e modificando a lógica de controle para desencadear comportamentos indesejáveis.
Na verdade, uma pesquisa recente apresentada por um grupo de acadêmicos do Instituto de Tecnologia da Geórgia no Simpósio NDSS em março de 2024 descobriu que é possível realizar um ataque do estilo Stuxnet comprometendo a aplicação web (ou interfaces homem-máquina) hospedadas pelos servidores web incorporados nos PLCs.
Isso envolve explorar a interface web do PLC usada para monitoramento remoto, programação e configuração para obter acesso inicial e depois aproveitar as APIs legítimas para sabotar a maquinaria real.
“Esses ataques incluem falsificação de leituras de sensores, desativação de alarmes de segurança e manipulação de atuadores físicos”, disseram os pesquisadores. “A emergência da tecnologia web em ambientes de controle industrial introduziu novas preocupações de segurança que não estão presentes no domínio de TI ou em dispositivos de IoT de consumo”.
O novo malware baseado na web para PLCs apresenta vantagens significativas em relação às técnicas existentes de malware para PLCs, como independência de plataforma, fácil implementação e níveis mais altos de persistência, permitindo que um atacante execute ações maliciosas de forma sorrateira sem precisar implantar malware de lógica de controle.
Para proteger as redes OT e ICS, é aconselhável limitar a exposição das informações do sistema, auditar e proteger pontos de acesso remoto, restringir o acesso a ferramentas e scripts de rede e sistema de controle a usuários legítimos, realizar revisões de segurança periódicas e implementar um ambiente de rede dinâmico.