Alerta crítica: Hacktivistas pro-rusos atacan infraestructura crítica global a través de ataques oportunistas

Resumen: CISA, FBI, NSA y agencias internacionales emiten advertencia conjunta sobre la tecnología operacional no segura

La última advertencia de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el FBI, NSA y una coalición de socios globales, subraya una amenaza significativa y persistente para nuestros servicios más esenciales. Una asesoría conjunta de ciberseguridad (AA25-343A) detalla cómo los grupos de hacktivistas pro-rusos están aprovechando tácticas simples y oportunistas para violar y perturbar la infraestructura crítica (CI) en todo el mundo, con el potencial de causar daños físicos reales.

Esta advertencia representa otra oportunidad para que los operadores de OT mejoren su postura de seguridad y presten un poco más de atención a:

• Estado de la segmentación de la red

• Estado de los parches y vulnerabilidades

• Estado de la capacitación y empoderamiento de los empleados. ¿Están suficientemente capacitados y empoderados para detectar y responder a las amenazas?

• ¿Se han abordado los resultados de su evaluación de riesgos?

• Estado de los privilegios de cuenta

• Evalúe el estado de respuesta a incidentes en su organización

Si está prestando atención a estos aspectos, debería estar en una posición fuerte para defenderse de esta amenaza.

En la publicación de hoy, profundizamos en la reciente advertencia emitida por CISA para los operadores de OT.

Antes de avanzar, no olvide consultar nuestro blog anterior sobre “Guía estratégica del jefe de planta para la gestión de vulnerabilidades basada en IEC 62443, aquí. 

Puedes leer la advertencia completa aquí. 

¿De qué se trata la amenaza de los hacktivistas rusos?

Aunque estos grupos de hacktivistas son generalmente menos sofisticados que las Amenazas Persistentes Avanzadas (APTs) patrocinadas por el estado, sus ataques están tan lejos de ser inofensivos como 3I Atlas está de la Tierra ahora mismo. Su motivación principal es crear molestias, llevándolos a explotar vulnerabilidades fácilmente disponibles para obtener la máxima atención mediática y complacer a sus manejadores, que podrían tener fuertes lazos con grupos de APT rusos también.

¿Cuáles son las conclusiones clave de la advertencia?

• Enfoque en OT: Los atacantes están principalmente dirigidos a la Tecnología Operacional (OT) y los Sistemas de Control Industrial (ICS), que gestionan y controlan procesos físicos como la generación de energía y el tratamiento de agua. Esto significa que están centrando sus esfuerzos en infraestructuras críticas que enfrentan a los ciudadanos.

• Poca sofisticación, alto potencial de impacto: Sus métodos son crudos pero efectivos, centrados en conexiones de Computación de Red Virtual (VNC) mínimamente seguras y orientadas a internet.

• Objetivos indiscriminados: Estos grupos son oportunistas, atacando a las víctimas según la facilidad de acceso en lugar del valor estratégico. Este enfoque amplio incluye sectores como:

o Sistemas de Agua y Aguas Residuales

o Sector Energético

o Alimentos y Agricultura

El ataque podría posiblemente clasificarse como una ola.

• El objetivo: interrupción y daño físico: A pesar de sus limitaciones técnicas, estos grupos han demostrado la intención y la capacidad de causar daños físicos, llevando a interrupciones significativas, pérdida de recursos y la necesidad de intervención manual por parte de los operadores.

• La amenaza y el riesgo para los operadores de OT son reales

La anatomía del ataque

El éxito de estos hacktivistas se basa en encontrar y explotar accesos remotos débilmente asegurados a dispositivos de control industrial, específicamente Interfaces Hombre-Máquina (HMIs), a menudo conectadas a través de VNC.

Tácticas, Técnicas y Procedimientos (TTPs):

• Reconocimiento: Escanear la internet pública en busca de dispositivos vulnerables con puertos VNC abiertos (como por ejemplo el puerto 5900).

• Acceso Inicial: Iniciar Servidores Privados Virtuales (VPS) temporales para ejecutar software de fuerza bruta de contraseñas o de rociado de contraseñas.

• Explotación: Utilizar software de VNC para obtener acceso a dispositivos HMI, aprovechando con frecuencia contraseñas predeterminadas, débiles o inexistentes.

• Acción sobre los Objetivos: Una vez dentro, manipulan configuraciones en la interfaz gráfica del HMI, incluyendo:

o Cambio de configuraciones o parámetros de dispositivos.

o Modificación o bloqueo de nombres de usuario/contraseñas de operadores.

o Desactivación de alarmas.

o Causar una "pérdida de vista" que exige una intervención inmediata, manual y local del operador.

Grupos notables involucrados:

La advertencia nombra específicamente a varios grupos de hacktivistas pro-rusos involucrados en estas actividades:

• Cyber Army of Russia Reborn (CARR)

• Z-Pentest

• NoName057(16)

• Sector16

Estos grupos a menudo colaboran y utilizan las redes sociales para exagerar dramáticamente sus intrusiones exitosas y ganar publicidad.

Acciones de mitigación inmediatas

La defensa más crítica contra estos ataques oportunistas es eliminar el punto inicial de compromiso: el activo OT expuesto y débilmente asegurado. CISA insta a todos los propietarios y operadores de infraestructura crítica a implementar las siguientes acciones de inmediato:

Reducir la exposición a internet pública (la prioridad #1)

• Restringir el acceso: El paso más importante: Asegúrese de que todos los activos OT e ICS no estén directamente expuestos al internet que enfrenta al público.

• Gestión de la superficie de ataque: Use herramientas automatizadas para escanear sus propios rangos de IP en busca de cualquier VNC expuesto u otros sistemas de acceso remoto que puedan haber sido configurados por terceros.

• Segmentación de red: Implemente una estricta segmentación de red entre sus redes IT (Tecnología de la Información) y OT, utilizando una robusta Zona Desmilitarizada (DMZ) para todo el tráfico necesario que se transfiera.

• Monitorear la higiene del puerto

• Escanear la web oscura en busca de cualquier divulgación de credenciales de acceso

• Informar y sensibilizar a los empleados sobre campañas de vishing

Fortalecer la autenticación y el acceso

• Autenticación robusta: Elimine las credenciales predeterminadas en todos los dispositivos y exija el uso de contraseñas fuertes y únicas.

• Mandatar MFA: Implementar Autenticación Multifactor (MFA), especialmente para usuarios privilegiados que pueden hacer cambios críticos de seguridad en la lógica de ingeniería o configuraciones.

• Control de acceso estricto: Use firewalls y/o VPNs con una política de rechazo por defecto para todo el tráfico, permitiendo explícitamente solo destinos y protocolos autorizados.

Monitorizar, auditar, entrenar y preparar

• Gestión de activos: Adopte un proceso de gestión de activos maduro para mapear todos los flujos de datos y puntos de acceso en todo su entorno OT.

• Monitoreo de red: Recoja y monitorice activamente el tráfico de red y registros en busca de anomalías indicativas de actividad de actores de amenazas.

• Practicar respuesta a incidentes: Implemente y practique regularmente planes de recuperación empresarial y de recuperación ante desastres para asegurar una respuesta rápida y efectiva si ocurre una intrusión.

Llamado a la acción para los fabricantes/OMEs de dispositivos OT

CISA también insta a los fabricantes de Tecnología Operacional a adoptar un enfoque "seguro por diseño" para reducir el riesgo antes de que los productos lleguen a los sistemas críticos:

• Eliminar credenciales predeterminadas: Mandatar autenticación fuerte desde los primeros días.

• Seguro por defecto: Diseñar componentes para priorizar la seguridad cuando están conectados a internet.

• Proveer registros completos: Ofrecer registros de control de cambios y acceso sin costo adicional, utilizando formatos de estándar abierto.

• Publicar SBOMs: Proveer un Informe de Materiales de Software (SBOM) para ayudar a los dueños de activos a rastrear y mitigar vulnerabilidades en bibliotecas de software subyacentes.

El impacto acumulativo de esta actividad maliciosa oportunista y de baja sofisticación presenta una amenaza persistente y disruptiva para los servicios esenciales. Esto podría ser parte de una campaña extendida por APTs rusos ejecutada a través de hackers en formación que podrían estar siendo entrenados en el mundo real a través de ataques cibernéticos de baja intensidad.

Al tomar medidas inmediatas y decisivas, las organizaciones de infraestructura crítica pueden fortalecer significativamente sus defensas contra este panorama en evolución de amenazas cibernéticas mientras reducen su exposición general al riesgo.

Hable con nosotros para un briefing personalizado sobre esta advertencia.  

Conozca más sobre nuestra solución de NDR de seguridad OT para operadores de OT.