Microsoft waarschuwt voor een toename van het aantal cyberaanvallen gericht op OT-apparaten die blootgesteld zijn aan internet

Microsoft heeft de noodzaak benadrukt van het beveiligen van aan internet blootgestelde operationele technologie (OT)-apparaten na een golf van cyberaanvallen gericht op dergelijke omgevingen sinds eind 2023.

“Deze herhaalde aanvallen op OT-apparaten benadrukken de cruciale noodzaak om de beveiligingspositie van OT-apparaten te verbeteren en te voorkomen dat kritieke systemen gemakkelijke doelwitten worden”, aldus het Microsoft Threat Intelligence-team.

Het bedrijf merkte op dat een cyberaanval op een OT-systeem kwaadwillende actoren in staat zou kunnen stellen te knoeien met kritische parameters die worden gebruikt in industriële processen, hetzij programmatisch via de Programmable Logic Controller (PLC) of met behulp van de grafische bedieningselementen van de mens-machine-interface (HMI). met als gevolg storingen en systeemstoringen.

Het rapport stelt verder dat OT-systemen vaak niet over adequate beveiligingsmechanismen beschikken, waardoor ze rijp zijn voor uitbuiting door tegenstanders en het uitvoeren van aanvallen die “relatief eenvoudig uit te voeren zijn”, een feit dat nog wordt verergerd door de extra risico's die worden geïntroduceerd door OT-apparaten rechtstreeks met het internet te verbinden.

Hierdoor kunnen de apparaten niet alleen door aanvallers worden ontdekt via internetscantools, maar kunnen ze ook worden bewapend om initiële toegang te krijgen door te profiteren van zwakke inlogwachtwoorden of verouderde software met bekende kwetsbaarheden.

Vorige week nog bracht Rockwell Automation een advies uit waarin hij zijn klanten aanspoorde om alle industriële controlesystemen (ICS's) los te koppelen die niet bedoeld zijn om te worden aangesloten op het openbare internet vanwege “verhoogde geopolitieke spanningen en vijandige cyberactiviteiten wereldwijd.”

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft ook een bulletin uitgebracht met zijn eigen waarschuwing tegen pro-Russische hacktivisten die zich richten op kwetsbare industriële controlesystemen in Noord-Amerika en Europa.

“In het bijzonder manipuleerden pro-Russische hacktivisten HMI's, waardoor waterpompen en ventilatorapparatuur hun normale bedrijfsparameters overschreden”, aldus het agentschap. “In elk geval hebben de hacktivisten de ingestelde punten maximaal benut, andere instellingen gewijzigd, alarmmechanismen uitgeschakeld en administratieve wachtwoorden gewijzigd om de WWS-operators uit te sluiten.”

Microsoft zei verder dat het uitbreken van de oorlog tussen Israël en Hamas in oktober 2023 heeft geleid tot een piek in cyberaanvallen op aan het internet blootgestelde, slecht beveiligde OT-middelen ontwikkeld door Israëlische bedrijven, waarvan een groot deel werd uitgevoerd door groepen als Cyber ​​Av3ngers, Soldiers of Solomon, en Abnaa Al-Saada die banden had met Iran.

Volgens Redmond richtten de aanvallen zich vooral op OT-apparatuur die in verschillende sectoren in Israël werd ingezet, vervaardigd door internationale leveranciers, maar ook op apparatuur die afkomstig was uit Israël maar in andere landen werd ingezet.

Deze OT-apparaten zijn “voornamelijk aan het internet blootgestelde OT-systemen met een slechte beveiliging, mogelijk vergezeld van zwakke wachtwoorden en bekende kwetsbaarheden”, voegde de technologiegigant eraan toe.

Om de risico's van dergelijke bedreigingen te beperken, wordt aanbevolen dat organisaties de veiligheid van hun OT-systemen garanderen, met name door het aanvalsoppervlak te verkleinen en zero trust-praktijken te implementeren om te voorkomen dat aanvallers zich lateraal binnen een gecompromitteerd netwerk bewegen.

De ontwikkeling komt op het moment dat OT-beveiligingsbedrijf Claroty een destructieve malwaresoort genaamd Fuxnet uitpakte die de Blackjack-hackgroep, vermoedelijk gesteund door Oekraïne, naar verluidt gebruikte tegen Moscollector, een Russisch bedrijf dat een groot netwerk van sensoren onderhoudt voor het monitoren van het ondergrondse water en rioolwater in Moskou. systemen voor het detecteren en reageren op noodsituaties.

BlackJack, dat begin vorige maand details van de aanval deelde, omschreef Fuxnet als ‘Stuxnet op steroïden’, waarbij Claroty opmerkte dat de malware waarschijnlijk op afstand werd ingezet op de doelsensorgateways met behulp van protocollen zoals SSH of het sensorprotocol (SBK) via port. 4321.

Fuxnet wordt geleverd met de mogelijkheid om het bestandssysteem onherroepelijk te vernietigen, de toegang tot het apparaat te blokkeren en de NAND-geheugenchips op het apparaat fysiek te vernietigen door het geheugen voortdurend te schrijven en te herschrijven om het onbruikbaar te maken.

Bovendien is het ontworpen om het UBI-volume te herschrijven om te voorkomen dat de sensor opnieuw opstart, en uiteindelijk de sensoren zelf te beschadigen door een stortvloed aan valse Meter-Bus (M-Bus)-berichten te verzenden.

“De aanvallers ontwikkelden en implementeerden malware die zich op de gateways richtte en verwijderde bestandssystemen, mappen, schakelde diensten voor externe toegang uit, routeringsdiensten voor elk apparaat, en herschreven flash-geheugen, vernietigden NAND-geheugenchips, UBI-volumes en andere acties die de werking van deze gateways verder verstoorden. ’, merkte Claroty op.

Volgens gegevens die eerder deze week door het Russische cyberbeveiligingsbedrijf Kaspersky werden gedeeld, kwamen internet, e-mailclients en verwijderbare opslagapparaten in het eerste kwartaal van 2024 naar voren als de belangrijkste bronnen van bedreigingen voor computers in de OT-infrastructuur van een organisatie.

“Kwaadwillige actoren gebruiken scripts voor een breed scala aan doeleinden: het verzamelen van informatie, het volgen, het omleiden van de browser naar een kwaadaardige site en het uploaden van verschillende soorten malware (spyware en/of stille cryptominingtools) naar het systeem of de browser van de gebruiker”, aldus het rapport. gezegd. “Deze verspreiden zich via internet en e-mail.”

Thijs Van der Does