Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Un reciente ciberataque a la red energética de Polonia debería alertar a todos los operadores de infraestructuras críticas sobre los riesgos de los dispositivos periféricos inseguros, dijo el martes la Agencia de Seguridad de Infraestructuras y Ciberseguridad.
en una alerta destacando El informe de Polonia en el incidente de diciembre – que casi paralizó el suministro eléctrico en parte del país durante un período muy frío – CISA señaló que los piratas informáticos inicialmente violaron el sistema “a través de dispositivos vulnerables conectados a Internet” antes de implementar malware de limpieza que dañó la tecnología operativa.
«La actividad cibernética maliciosa resalta la necesidad de que las entidades de infraestructura crítica con dispositivos de borde vulnerables actúen ahora para fortalecer su postura de ciberseguridad contra las actividades de ciberamenazas dirigidas a OT» y sistemas de control industrial, dijo CISA, que la semana pasada agencias federales ordenadas para comenzar a desconectar dispositivos periféricos inseguros.
El ataque comenzó a finales de diciembre, cuando un actor de amenazas inició sesión en dispositivos de seguridad FortiGate expuestos a Internet que carecían de autenticación multifactor, probablemente con contraseñas reutilizadas. Desde allí, accedieron a una variedad de dispositivos de control de OT utilizando cuentas con credenciales de inicio de sesión predeterminadas. En algunos casos, esas cuentas tenían permiso para modificar el firmware de los dispositivos, lo que permitió a los piratas informáticos corromper el código operativo de los dispositivos. En otros casos, los piratas informáticos eliminaron archivos esenciales del sistema o reconfiguraron las reglas del firewall para permitir un mayor sabotaje.
Los parques eólicos y solares polacos objetivo utilizaban dispositivos de control OT de varias empresas, incluidas Hitachi, Mikronika y Moxa, pero todos los dispositivos utilizaban contraseñas predeterminadas.
El sabotaje resultante “causó pérdida de visión y control entre las instalaciones y los operadores del sistema de distribución, destruyó datos en las interfaces hombre-máquina (HMI) y corrompió el firmware del sistema en los dispositivos OT”, dijo CISA. «Si bien los sistemas de energía renovable afectados continuaron con la producción, el operador del sistema no pudo controlarlos ni monitorearlos según su diseño previsto».
Polonia atribuyó el ataque al equipo de hackers del gobierno ruso Berserk Bear, que está alojado dentro del Servicio Federal de Seguridad (FSB) de Moscú, mientras que ESET culpó a Sandwormuna unidad de la agencia de inteligencia militar rusa GRU.
Conclusiones para los operadores de activos OT
El aviso de CISA enumeró varias lecciones del incidente, incluida la continua vulnerabilidad de los dispositivos perimetrales, el peligro de las contraseñas predeterminadas y la necesidad de habilitar la verificación del firmware en los dispositivos OT.
«Los operadores deben cambiar inmediatamente las contraseñas predeterminadas y establecer requisitos para que los integradores o proveedores de OT hagan cumplir los cambios de contraseñas en el futuro», advirtió la agencia.
CISA, junto con la Oficina de Ciberseguridad, Seguridad Energética y Respuesta a Emergencias (CESER) del Departamento de Energía, instó a los operadores de infraestructura crítica a revisar el aviso de Polonia. una hoja informativa reciente de EE. UU. sobre la seguridad de OT y los propios avisos sobre amenazas cibernéticas del Departamento de Energía.
El gobierno británico también aprovechó el incidente para avisar a la comunidad de infraestructuras críticas.
«Incidentes como este hablan de la gravedad de la amenaza cibernética y resaltan la necesidad de fuertes defensas cibernéticas y resiliencia», dijo Jonathon Ellison, alto funcionario del Centro Nacional de Seguridad Cibernética del Reino Unido. escribió en LinkedIn los lunes. «Los operadores de infraestructura nacional crítica (CNI) del Reino Unido no sólo deben tomar nota sino, como hemos dicho antes, actuar ahora».
Fuente