A Mandiant Threat Intelligence publicou ontem um relatório observando que ataques bem simples, de gente com variados níveis de habilidade e recursos, usando ferramentas e técnicas comuns de TI, têm conseguido acesso e interagido com sistemas expostos de OT (operational technology). A empresa, que monitora OT desde 2012, observa que são ataques principalmente a processos de controle, como sistemas em ambientes industriais, que estão sendo comprometidos às vezes com algumas consequências, como aconteceu em estações de tratamento de água nos EUA. E às vezes sem consequência alguma, mas com demonstrações de que a fragilidade do sistema o deixou comprometido.
Segundo a Mandiant, a atividade mais comum envolve atores tentando ganhar dinheiro com sistemas OT expostos, mas também há atores simplesmente aplicando conhecimento e obtendo experiência. Mais recentemente, foram observadas mais atividades de ameaças de baixa sofisticação, com uso de táticas, técnicas e procedimentos amplamente conhecidos (TTPs) e ferramentas comuns para acessar, interagir ou coletar informações de ativos expostos à Internet – o que era pouco frequente no passado.
O relatório da Mandiant informa que “esta atividade de ameaça de baixa sofisticação impactou uma variedade de alvos em diferentes setores, desde painéis de energia solar e sistemas de controle de água a sistemas de automação de edifícios (BAS) e sistemas de segurança residencial em residências acadêmicas e particulares. Embora alguns alvos de infraestrutura crítica sejam de natureza muito sensível, outros alvos apresentam muito pouco risco”.
Veja isso
Invasores da FireEye roubam as ferramentas do red team
Justiça manda Capital One entregar laudo de perícia da Mandiant
Uma característica consistente observada entre os comprometimentos pouco sofisticados, diz o documento, “é que os atores mais frequentemente exploram serviços de acesso remoto não seguros, como conexões de computação de rede virtual (VNC), para acessar remotamente os sistemas de controle comprometidos. As interfaces gráficas do usuário (GUI), como as interfaces homem-máquina (HMI), tornam-se o fruto mais fácil de ataques OT orientados a processos, pois fornecem uma representação amigável de processos industriais complexos, que permite aos atores modificar variáveis de controle sem antes conhecimento de um processo. Em muitos casos, os atores mostraram evidências de processos de controle comprometidos por meio de imagens de GUIs, endereços IP, carimbos de data / hora do sistema e vídeos”.
Cada um dos incidentes de baixa sofisticação observados é único, acrescenta o relatório da Mandiant, e apresenta um nível diferente de risco, “que normalmente determinamos examinando o trabalho anterior e a reputação do ator, a indústria do alvo e a natureza do processo comprometido, entre outras coisas. Embora os incidentes de baixa sofisticação não pareçam causar um impacto comum nos ambientes físicos, eles permanecem preocupantes pelos seguintes motivos:
- Cada incidente fornece aos atores da ameaça oportunidades de aprender mais sobre OT, como a tecnologia subjacente, processos físicos e operações. Essas oportunidades podem aumentar a habilidade de um adversário e aprimorar sua habilidade profissional.
- Mesmo as intrusões de baixa sofisticação em ambientes de OT trazem o risco de interrupção dos processos físicos, principalmente no caso de indústrias ou organizações com práticas de segurança menos maduras. Conforme o número de intrusões aumenta, aumenta também o risco de interrupção do processo.
- A publicidade desses incidentes normaliza as operações cibernéticas contra OT e pode encorajar outros atores da ameaça a direcionar ou impactar cada vez mais esses sistemas. Isso é consistente com o aumento na atividade de OT por grupos e operadores de ransomware com mais recursos e motivados financeiramente”.
Com agências de notícias internacionais