O Reino Unido Centro Nacional de Segurança Cibernética (NCSC) e a parceira dos EUA, a Agência de Segurança Cibernética e de Infraestrutura (CISA), emitiram um aviso sobre a ameaça em evolução de atores de ameaças hacktivistas apoiados pela Rússia visando infraestrutura nacional crítica (CNI), depois que várias empresas de serviços públicos americanas foram atacadas.
O NCSC já alertou anteriormente sobre o crescimento da actividade mercenária por parte de grupos que apoiam a Rússia e que actuam por motivos ideológicos – estes não são necessariamente os grupos ameaçadores que se regozijam com nomes como Cosy Bear, que são oficialmente apoiados pelo Kremlin, mas sim grupos mais tecnicamente pouco sofisticados que actuam de por vontade própria.
Desde o início de 2024, esses grupos têm sido vistos como tendo como alvo grupos vulneráveis e de pequena escala. sistemas de controle industriais tanto na Europa como na América do Norte, o que resultou em algumas perturbações físicas nos EUA.
Especificamente, várias vítimas americanas de sistemas de água e águas residuais viram bombas de água e equipamentos de sopradores excederem brevemente seus parâmetros operacionais, e algumas experimentaram eventos de transbordamento de tanques, depois que suas interfaces homem-máquina (HMIs) foram hackeadas.
Nesses ataques, os hacktivistas maximizaram os pontos de ajuste, alteraram outras configurações, desligaram alarmes e alertas e alteraram senhas de administrador para bloquear os operadores.
Eles usaram uma variedade de técnicas para obter acesso ao sistema, explorando principalmente vários elementos do protocolo de computação em rede virtual (VNC).
“Continua a haver uma ameaça crescente dos intervenientes alinhados com o Estado aos operadores de tecnologia operacional (TO)”, afirmou o NCSC. “O NCSC insta todos os proprietários e operadores de OT, incluindo os prestadores de serviços essenciais do Reino Unido, a seguirem agora os conselhos de mitigação recomendados para reforçarem as suas defesas.”
Os grupos hacktivistas ou mercenários podem não ser sofisticados no âmbito dos seus ataques cibernéticos, mas são considerados particularmente perigosos porque não estão sujeitos à supervisão direta das agências de inteligência russas, pelo que as suas ações podem ser menos limitadas, os seus alvos mais amplos e o seu impacto mais perturbador e menos previsível.
Os seus ataques concentraram-se geralmente em ataques distribuídos de negação de serviço, desfiguração de websites e desinformação, mas muitos grupos declaram agora abertamente que querem ir mais longe e alcançar um impacto mais perturbador, até mesmo destrutivo, nas organizações CNI.
“Esperamos que estes grupos procurem oportunidades para criar tal impacto, especialmente se os sistemas estiverem mal protegidos”, disse o NCSC.
“Sem assistência externa, consideramos improvável que estes grupos tenham a capacidade de causar deliberadamente um impacto destrutivo, em vez de perturbador, a curto prazo. Mas podem tornar-se mais eficazes com o tempo e, por isso, o NCSC recomenda que as organizações ajam agora para gerir o risco contra ataques futuros bem-sucedidos.”
Próximos passos para os defensores
O NCSC recomenda que os operadores da CNI atualizem imediatamente as suas posturas de segurança cibernética, em particular seguindo o seu conselho sobre administração segura do sistema. Também ressurgiu seu Quadro de avaliação cibernética diretrizes para ajudar os serviços públicos e outros a identificar melhor as áreas de melhoria.
Nos EUA, a CISA publicou adicionalmente orientações sobre defendendo a tecnologia operacional de hacktivistas. Como medida imediata, os operadores CNI devem reforçar o acesso remoto às suas IHMs, desconectando-as da Internet pública e implementando firewalls de última geração e/ou redes privadas virtuais se o acesso remoto for realmente necessário, fortalecendo credenciais e políticas de acesso, mantendo o VNC atualizado e estabelecendo uma lista de permissões para permitir que apenas endereços IP de dispositivos autorizados acessem os sistemas.