A Rockwell Automation está alertando seus clientes a desconectar todos os sistemas de controle industrial (ICSs) que não devem estar conectados à internet de forma pública para mitigar atividades cibernéticas não autorizadas ou maliciosas.

A empresa afirmou que está emitindo o aviso devido a “tensões geopolíticas elevadas e atividades cibernéticas adversárias globalmente”.

Nesse sentido, os clientes devem tomar medidas imediatas para determinar se possuem dispositivos acessíveis pela internet e, se for o caso, cortar a conectividade para aqueles que não devem ficar expostos.

“Os usuários nunca devem configurar seus ativos para se conectarem diretamente à internet de forma pública”, acrescentou a Rockwell Automation.

“Remover essa conectividade como uma medida proativa reduz a superfície de ataque e pode imediatamente diminuir a exposição a atividades cibernéticas não autorizadas e maliciosas de atores externos.”

Além disso, as organizações devem garantir que adotaram as mitigações e correções necessárias para se proteger contra as seguintes falhas que afetam seus produtos –

O alerta também foi compartilhado pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), que também está recomendando que os usuários e administradores sigam medidas apropriadas destacadas no guia para reduzir a exposição.

Isso inclui um aviso de 2020, emitido em conjunto pela CISA e pela Agência de Segurança Nacional (NSA), alertando que atores maliciosos estão explorando ativos de tecnologia operacional (OT) acessíveis pela internet para conduzir atividades cibernéticas que poderiam representar ameaças severas à infraestrutura crítica.

“Os atores cibernéticos, incluindo grupos de ameaças persistentes avançadas, têm mirado sistemas OT/ICS nos últimos anos para obter ganhos políticos, vantagens econômicas, e possivelmente executar efeitos destrutivos”, observou a NSA em setembro de 2022.

Adversários também foram observados se conectando a controladores lógicos programáveis (PLCs) expostos publicamente e modificando a lógica de controle para acionar comportamentos indesejáveis.

Na verdade, uma pesquisa recente apresentada por um grupo de acadêmicos do Instituto de Tecnologia da Geórgia no Simpósio NDSS em março de 2024 descobriu que é possível realizar um ataque Stuxnet comprometendo a aplicação web (ou interfaces homem-máquina) hospedada pelos servidores web embutidos nos PLCs.

Isso envolve explorar a interface web do PLC usada para monitoramento remoto, programação e configuração para obter acesso inicial e depois aproveitar as interfaces de programação de aplicativos legítimas (APIs) para sabotar a maquinaria do mundo real subjacente.

“Esses ataques incluem falsificação de leituras de sensores, desativação de alarmes de segurança e manipulação de atuadores físicos”, afirmaram os pesquisadores. “O surgimento da tecnologia web em ambientes de controle industrial introduziu novas preocupações de segurança que não estão presentes no domínio de TI ou em dispositivos de IoT de consumo.”

O novo malware web-based PLC tem vantagens significativas sobre as técnicas de malware PLC existentes, como independência de plataforma, facilidade de implantação e níveis mais altos de persistência, permitindo a um invasor realizar ações maliciosas de forma discreta sem precisar implantar malware de lógica de controle.

Para garantir a segurança das redes OT e ICS, é aconselhável limitar a exposição das informações do sistema, auditar e proteger os pontos de acesso remoto, restringir o acesso às ferramentas e scripts de rede e sistema de controle para usuários legítimos, realizar revisões de segurança periódicas e implementar um ambiente de rede dinâmico.