Organizações industriais que possuem ativos de tecnologia operacional (OT) foram alvo de três novos grupos de ameaças avançadas no ano passado. No total, a empresa de cibersegurança industrial Dragos rastreou dez grupos de ameaças focados em OT que tinham operações ativas em 2023. A empresa verificou que 11 grupos conhecidos estavam “dormentes” em 2023 e dois foram aposentados. Sete grupos de anos anteriores continuaram as suas atividades e três novos foram identificados pela primeira vez: o Gananite, Laurionite e Voltzite.
Dos três novos grupos descobertos no ano passado, o Voltzite é um grupo ligado à China, também conhecido na indústria de segurança como Volt Typhoon, que invadiu as redes de TI de várias organizações de infraestrutura crítica. A Agência de Segurança de Infraestrutura e Cibersegurança (CISA) e a Agência de Segurança Nacional (NSA) dos EUA, além do FBI, emitiram um alerta no início deste mês de que este grupo não se envolve em ciberespionagem tradicional, mas sim focado no movimento lateral e na obtenção de acesso a ativos de OT para potencialmente causar perturbações em resposta a tensões geopolíticas ou conflitos militares em o futuro.
O Voltzite depende fortemente de técnicas living-off-the-land (viver fora da terra, em tradução livre) e de ações práticas pós-comprometimento com o objetivo de expandir seu acesso do perímetro da rede de TI para a rede de OT. Acredita-se que o grupo esteja em operação desde pelo menos 2021 e tem como alvo entidades de infraestrutura crítica em Guam, nos Estados Unidos, e outros países com foco em empresas elétricas. O grupo também tem como alvo organizações nas áreas de pesquisa em segurança cibernética, tecnologia, bases industriais de defesa, bancos, serviços de satélite, telecomunicações e educação.
“A análise das operações do Voltzite sublinha a necessidade de vigilância contínua entre as organizações que operam no setor elétrico global, uma vez que a atividade observada sugere um interesse contínuo e específico nessas redes”, disse a Dragos no seu relatório. “Além disso, as ações do Voltzite que envolvem vigilância prolongada e coleta de dados se alinham com os objetivos avaliados do Volt Typhoon de reconhecimento e obtenção de vantagem geopolítica na região da Ásia-Pacífico.”
Outro novo grupo, o Gananite, se concentra na ciberespionagem e no roubo de dados. Os alvos do grupo têm sido principalmente infraestruturas críticas e organizações governamentais da Ásia Central e de países da Comunidade de Estados Independentes (CEI). O Gananite é conhecido por usar explorações de prova de conceito (PoC) disponíveis publicamente para comprometer endpoints expostos à internet e por usar vários trojans de acesso remoto, incluindo Stink Rat, LodaRAT, WarzoneRAT e JLORAT.
“O Gananite foi observado realizando vários ataques contra pessoal-chave relacionado com a gestão de operações de sistemas de controle industrial (ICS) numa importante empresa europeia de petróleo e gás, organizações ferroviárias na Turquia e no Azerbaijão, várias empresas de transporte e logística, uma empresa de maquinaria automóvel e pelo menos uma entidade governamental europeia. supervisionar os serviços públicos de água”, disse a Dragos.
O terceiro novo grupo, o Laurionite, foi observado explorando vulnerabilidades nos serviços web Oracle E-Business Suite iSupplier pertencentes a organizações dos setores de aviação, automotivo, manufatura e governamental. O Oracle E-Business Suite é uma solução empresarial popular para processos de negócios integrados usados em vários setores. O Laurionite ainda não foi observado tentando migrar para redes de OT, mas o potencial existe, dados seus objetivos e o tipo de informações sobre fornecedores e relacionamentos com fornecedores que as instâncias do Oracle E-Business Suite iSupplier podem conter.
Embora os grupos de ransomware normalmente não tenham como alvo os ativos de OT diretamente, as organizações industriais que têm incidentes de ransomware em suas redes de TI podem desligar seus ativos de OT como medida preventiva. De acordo com o rastreamento da Dragos, o número de incidentes de ransomware que impactaram as organizações industriais aumentou 50% no ano passado e mais de 70% impactaram os fabricantes.
Esses grupos também se interessaram por organizações de infraestruturas críticas, embora as suas operações se limitem geralmente a ataques distribuídos de negação de serviço (DDoS) contra ativos expostos à internet. Mas alguns foram mais longe. No ano passado, um grupo anti-Israel que se autodenomina CyberAv3ngers atacou controladores lógicos programáveis (PLCs) pertencentes a empresas de abastecimento de água na América do Norte e na Europa.
Veja isso
Falhas críticas em ambientes de OT/IoT crescem 230% em 6 meses
Número de ICSs expostos à internet cai 40% em cinco anos
A Dragos ressalta ainda que a qualidade das informações sobre vulnerabilidade para ativos de OT continua deficiente. Ela descobriu que um terço dos avisos divulgados no ano passado sobre vulnerabilidades relevantes para sistemas de TO continham dados incorretos, incluindo a pontuação de gravidade errada. Eles também descobriram que cerca de um em cada três avisos não forneceu nenhum patch quando foram publicados e que 73% não tinham mitigação alternativa, o que é crítico em setores onde a aplicação rápida de patches não é uma opção, porque interromper processos industriais importantes para implantar atualizações de firmware requer um planejamento cuidadoso.
A Dragos rastreia informações de vulnerabilidade divulgadas por fornecedores de OT em comunicados e as corrige regularmente para seus clientes. A empresa constatou que 31% tinham informações incorretas que poderiam fazer com que os proprietários de ativos perdessem tempo e recursos ou não tratassem uma vulnerabilidade com a seriedade necessária. A pontuação de gravidade do CVSS teve que ser elevada para 9% das falhas e reduzida para 4% delas.
A empresa também forneceu conselhos práticos para 49% dos comunicados que ofereciam um patch, mas não ofereciam nenhuma alternativa de mitigação. Além disso, a Dragos classifica as vulnerabilidades em três categorias de priorização: agora, próximo ou nunca. Das vulnerabilidades de 2.010 analisadas no ano passado, apenas 3% caíram na categoria endereço agora, com 68% sendo mitigadas com monitoramento de rede, segmentação de rede e autenticação multifatorial.
Para acessar o relatório completo (inglês) da Dragos clique aqui.