El gobierno de EE. UU. advirtió el miércoles sobre los actores del estado-nación que implementan malware especializado para mantener el acceso a los sistemas de control industrial (ICS) y los dispositivos de control de supervisión y adquisición de datos (SCADA).
“Los actores de APT han desarrollado herramientas personalizadas para apuntar a dispositivos ICS/SCADA”, varias agencias de EE. UU. dicho en una alerta. “Las herramientas les permiten buscar, comprometer y controlar los dispositivos afectados una vez que han establecido el acceso inicial a la red de tecnología operativa (OT)”.
El aviso federal conjunto es cortesía del Departamento de Energía de EE. UU. (DoE), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI).
Las herramientas personalizadas están diseñadas específicamente para destacar los controladores lógicos programables (PLC) de Schneider Electric, los PLC Sysmac NEX de OMRON y los servidores de arquitectura unificada de comunicaciones de plataforma abierta (OPC UA).
Además de eso, se dice que los actores anónimos poseen capacidades para infiltrarse en estaciones de trabajo de ingeniería basadas en Windows a través de redes de TI y OT al hacer uso de un exploit que compromete un controlador de placa base firmado por ASRock con vulnerabilidades conocidas (CVE-2020-15368).
La intención, dijeron las agencias, es aprovechar el acceso a los sistemas ICS para elevar los privilegios, moverse lateralmente dentro de las redes y sabotear funciones de misión crítica en entornos de gas natural licuado (GNL) y energía eléctrica.
La empresa de ciberseguridad industrial Dragos, que ha estado rastreando el malware bajo el nombre “PIPEDREAM” desde principios de 2022, lo describió como un “marco de ataque ICS modular que un adversario podría aprovechar para causar interrupción, degradación y posiblemente incluso destrucción según los objetivos y el entorno”.
Director ejecutivo de Dragos, Robert M. Lee atribuido el malware a un actor estatal denominado CHERNOVITE, evaluando con gran confianza que el conjunto de herramientas destructivas aún no se ha empleado en ataques del mundo real, por lo que posiblemente sea la primera vez que “se encuentra una capacidad cibernética industrial *antes* de su implementación para los fines previstos”. efectos”.
PIPEDREAM características una matriz de cinco componentes para lograr sus objetivos, lo que le permite realizar reconocimientos, secuestrar dispositivos de destino, alterar la lógica de ejecución de los controladores e interrumpir los PLC, lo que efectivamente conduce a la “pérdida de seguridad, disponibilidad y control de un entorno industrial”.
También se sabe que el malware versátil aprovecha CODESYS, un entorno de desarrollo de terceros para programar aplicaciones de controlador y que se ha descubierto que contiene hasta 17 vulnerabilidades de seguridad diferentes solo en el último año.
“Las capacidades para reprogramar y potencialmente deshabilitar los controladores de seguridad y otros controladores de automatización de máquinas podrían aprovecharse para deshabilitar el sistema de apagado de emergencia y, posteriormente, manipular el entorno operativo a condiciones inseguras”, advirtió Dragos.
Coincidiendo con la divulgación, hay otro informe de la firma de inteligencia de amenazas Mandiant, que descubrió lo que llama un “conjunto de nuevas herramientas de ataque orientadas al sistema de control industrial (ICS)” dirigidas a dispositivos de automatización de máquinas de Schneider Electric y Omron.
El malware patrocinado por el estado, al que ha denominado INCONTROLADORestá diseñado para “interactuar con equipos industriales específicos integrados en diferentes tipos de maquinaria aprovechados en múltiples industrias” por medio de protocolos de red industrial como OPC UA, Modbus y CODESYS.
Dicho esto, aún no está claro cómo las agencias gubernamentales, así como Dragos y Mandiant, encontraron el malware. Los hallazgos se producen un día después de que la empresa de ciberseguridad eslovaca ESET detallara el uso de una versión mejorada del malware Industroyer en un ciberataque fallido dirigido contra un proveedor de energía no identificado en Ucrania la semana pasada.
“INCONTROLADOR [aka PIPEDREAM] representa una capacidad de ataque cibernético excepcionalmente rara y peligrosa”, dijo Mandiant. “Es comparable a Triton, que intentó desactivar un sistema de seguridad industrial en 2017; Industroyer, que provocó un corte de energía en Ucrania en 2016; y Stuxnet, que saboteó el programa nuclear iraní alrededor de 2010”.
Para mitigar las amenazas potenciales y proteger los dispositivos ICS y SCADA, las agencias recomiendan a las organizaciones que apliquen la autenticación de múltiples factores para el acceso remoto, cambien periódicamente las contraseñas y estén continuamente atentos a indicadores y comportamientos maliciosos.
About the Author
