Gobierno de EE.UU. advierte de nuevos ataques de malware en sistemas ICS/SCADA

Las agencias del gobierno de los EE. UU. han emitido una advertencia conjunta de que los piratas informáticos han revelado su capacidad para obtener acceso completo al sistema a los sistemas de control industrial que podrían ayudar a los estados enemigos a sabotear la infraestructura crítica.

en un porro aviso de ciberseguridad emitido por el Departamento de Energía, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la NSA y el FBI, se advierte que piratas informáticos no identificados han creado malware especializado que puede causar daños importantes a las operaciones industriales, y que el sector energético en en particular, debe seguir los consejos sobre cómo defenderse y mitigar la amenaza.

El aviso explica que se han creado herramientas personalizadas dirigidas a controladores lógicos programables (PLC) de control industrial de OMRON y Schneider Electric, y servidores de la Fundación OPC de código abierto.

Como describe el aviso, las herramientas desarrolladas por los piratas informáticos les permiten buscar, comprometer y controlar los dispositivos afectados una vez que han establecido el acceso inicial a la red de tecnología operativa (OT).

Además, los atacantes pueden explotar una vulnerabilidad (CVE-2020-15368) en un controlador de placa base ASRock para comprometer las estaciones de trabajo de Windows utilizadas en entornos de TI u OT, ayudándolas a moverse lateralmente a través de una organización.

¿Qué significa todo esto? Significa que un adversario podría interrumpir, degradar o incluso potencialmente destruir los sistemas de control utilizados en entornos industriales, saboteando potencialmente las operaciones que involucran energía eléctrica y gas natural licuado.

La firma de seguridad Dragos dice que ha estado rastreando el malware, al que ha llamado «SUEÑO DE PIPE» desde principios de 2022.

La firma advierte que “PIPEDREAM puede afectar a un porcentaje importante de los activos industriales a nivel mundial”.

Y está claro que la amenaza es grave, con la advertencia del gobierno, por ejemplo, que describe algunas de las formas en que el malware puede afectar a los PLC de Schneider:

• Realice un ataque de denegación de servicio para evitar que las comunicaciones de red lleguen al PLC
• Cortar las conexiones, lo que requiere que los usuarios vuelvan a autenticarse en el PLC, probablemente para facilitar la captura de credenciales
• Realice un ataque de ‘paquete de muerte’ para bloquear el PLC hasta que se realice un ciclo de encendido y recuperación de la configuración

El seguimiento SCI/Se dice que los dispositivos SCADA están en riesgo debido a las herramientas personalizadas implementadas por los piratas informáticos:

• Schneider Electric MODICON y MODICON Nano PLC, incluidos (entre otros) TM251, TM241, M258, M238, LMC058 y LMC078
• PLC OMRON Sysmac NJ y NX, incluidos (entre otros) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK y R88D-1SN10F-ECT
• Servidores de arquitectura unificada OPC (OPC UA)

Se recomienda a los equipos de respuesta de seguridad que se aseguren de que se aplique la autenticación multifactor para todos los accesos remotos a las redes y dispositivos de ICS siempre que sea posible, que se establezcan contraseñas seguras y únicas, y que se implementen sistemas de monitoreo para registrar y alertar sobre indicadores maliciosos y comportamientos

La advertencia del gobierno de los EE. UU. llega a raíz de una serie de ataques que se han relacionado con la invasión rusa de Ucrania.