Wielkiej Brytanii Narodowe Centrum Cyberbezpieczeństwa (NCSC) i jej amerykański partner, Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA). ostrzeżenie o rozwijającym się zagrożeniu atakami wspieranych przez Rosję haktywistów krytyczna infrastruktura krajowa (CNI) po atakach na kilka amerykańskich przedsiębiorstw użyteczności publicznej.
NCSC ostrzegało już wcześniej przed wzrostem działalność najemniczą grup wspierających Rosję działające na podstawach ideologicznych – niekoniecznie są to grupy zagrożeń cieszące się nazwami takimi jak Cozy Bear, które są oficjalnie wspierane przez Kreml, ale raczej grupy mniej wyrafinowane technicznie, działające na własną rękę.
Od początku 2024 r. takie grupy atakowały bezbronne organizacje na małą skalę przemysłowe systemy sterowania (ICS) zarówno w Europie, jak i Ameryce Północnej, a to ukierunkowanie spowodowało pewne fizyczne zakłócenia w USA.
W szczególności kilka ofiar amerykańskich systemów wodno-ściekowych (WWS) zaobserwowało, że pompy wodne i dmuchawy na krótko przekroczyły swoje parametry operacyjne, a u niektórych wystąpiły przypadki przepełnienia zbiornika po włamaniu do ich interfejsów człowiek-maszyna.
W tych atakach haktywiści maksymalizowali ustawione wartości, zmieniali inne ustawienia, wyłączali alarmy i alerty oraz zmieniali hasła administratora, aby zablokować operatorów.
Aby uzyskać dostęp do systemu, stosowali różnorodne techniki, wykorzystując głównie różne elementy protokołu wirtualnej sieci obliczeniowej (VNC).
„W dalszym ciągu istnieje zwiększone zagrożenie ze strony podmiotów powiązanych z państwem dla operatorów technologii operacyjnych (OT)” – stwierdziło NCSC. „NCSC wzywa wszystkich właścicieli i operatorów OT, w tym brytyjskich dostawców usług podstawowych, aby teraz zastosowali się do zalecanych porad dotyczących łagodzenia skutków, aby wzmocnić swoją obronę”.
Grupy haktywistów lub najemników mogą nie być wyrafinowane w zakresie swoich cyberataków, ale są uważane za szczególnie niebezpieczne, ponieważ nie podlegają bezpośredniemu nadzorowi rosyjskich agencji wywiadowczych, dlatego ich działania mogą być mniej ograniczone, ich ukierunkowanie szersze, a ich wpływ większy destrukcyjne i mniej przewidywalne.
Ich ataki skupiały się na ogół na atakach typu rozproszona odmowa usługi (DDoS), niszczeniu stron internetowych i dezinformacji, ale wiele grup otwarcie stwierdza obecnie, że chcą pójść dalej i osiągnąć bardziej destrukcyjny, a nawet destrukcyjny wpływ na organizacje CNI.
„Oczekujemy, że te grupy będą szukać możliwości wywarcia takiego wpływu, szczególnie jeśli systemy są słabo chronione” – stwierdziło NCSC.
„Uważamy, że bez pomocy zewnętrznej jest mało prawdopodobne, aby te grupy były w stanie w krótkiej perspektywie celowo wywołać destrukcyjny, a nie destrukcyjny wpływ. Z czasem mogą jednak stać się bardziej skuteczne, dlatego NCSC zaleca organizacjom podjęcie działań już teraz, aby zarządzać ryzykiem wystąpienia skutecznych ataków w przyszłości”.
Kolejne kroki obrońców
NCSC zaleca operatorom CNI natychmiastowe odświeżenie swojego stanowiska w zakresie bezpieczeństwa cybernetycznego, w szczególności po zastosowaniu się do jego zaleceń bezpieczna administracja systemem. To również powróciło na powierzchnię Ramy oceny cybernetycznej wytyczne pomagające przedsiębiorstwom użyteczności publicznej i innym podmiotom lepiej identyfikować obszary wymagające poprawy.
W USA CISA opublikowała dodatkowo wytyczne dot obrona technologii operacyjnej przed haktywistami. Operatorzy CNI powinni natychmiastowo wzmocnić zdalny dostęp do swoich interfejsów człowiek-maszyna, odłączając je od publicznego Internetu i wdrażając zapory ogniowe nowej generacji i/lub wirtualne sieci prywatne, jeśli rzeczywiście potrzebny jest dostęp zdalny, wzmacniając dane uwierzytelniające i zasady dostępu , aktualizowanie VNC i ustanawianie listy dozwolonych zezwalającej na dostęp do systemów tylko autoryzowanym urządzeniom z adresami IP.