Se han identificado al menos tres grupos de hackers internacionales con el objetivo de interferir o interrumpir las redes eléctricas en los Estados Unidos. Los intentos de atacar a la industria de servicios públicos están en aumento, según un informe sobre el estado de los sistemas de control industrial (ICS).
Las industrias de petróleo, gas , agua y energía eléctrica han demostrado ser un objetivo valioso para los actores de amenazas que buscan comprometer los entornos de ICS. Como estas instalaciones son críticas para las economías de todo el mundo, las campañas de interrupción permiten a los adversarios avanzar en sus objetivos respectivos.
Numerosas intrusiones en las redes de ICS han demostrado el creciente interés en apuntar al sector energético. La compañía de seguridad industrial Dragos compartió que siete grupos han apuntado a instalaciones eléctricas en América del Norte, y tres de ellos, Dymalloy, Electrum y Xenotime, tienen la capacidad de ejecutar ataques disruptivos o destructivos.
Evaluación de grupos de hackers internacionales Dymalloy, Electrum y Xenotime
El grupo Dymalloy tiene como objetivo tener acceso persistente a los entornos de tecnología de la información (TI) y tecnología operativa (OT) mediante la recopilación de inteligencia exhaustiva. Sus campañas se han distribuido en Europa, América del Norte y Turquía. Algunos incluso especulan que Dymalloy tiene vínculos con el grupo de hackers Dragonfly.Los investigadores dijeron que el grupo de hackeo Electrum tenía los recursos que les permitieron desarrollar malware que puede modificar los procesos de los equipos eléctricos y los protocolos ICS. El grupo también está vinculado al infame ataque contra las redes eléctricas en Ucrania.
El tercer equipo de hackers, Xenotime, es el grupo detrás del ataque de Triton contra las instalaciones de petróleo y gas en el Medio Oriente en 2017. Los atacantes obtuvieron primero acceso remoto al sistema instrumentado de seguridad (SIS) Triconex de Schneider Electric y luego desplegaron Triton en un sistema basado en estaciones de trabajo Windows para reprogramar los controladores. Desde entonces, Xenotime ha expandido sus actividades a los entornos industriales de otras regiones, especialmente a las redes eléctricas de sondeo en los Estados Unidos.
El informe señala además que los fabricantes de equipos originales (OEM), los proveedores externos y los proveedores de telecomunicaciones podrían desempeñar un papel importante en los compromisos de la cadena de suministro. En las predicciones de seguridad para 2020 , destacamos cómo poner confianza sin límites en terceros, particularmente aquellos involucrados en entornos de fabricación, podría poner en peligro los procesos comerciales y las medidas de seguridad al convertirse en trampolines para el compromiso de los sistemas críticos.
Los actores de amenazas tienen diferentes motivos para llevar a cabo ataques contra ICS, desde motivaciones financieras, políticas o incluso militares. Los ataques generalmente comienzan con el reconocimiento, donde un atacante examina el entorno objetivo. A partir de ahí, pueden emplear diferentes tácticas para establecerse en la red. Los actores de amenazas también pueden aprovechar las vulnerabilidades de software y otras debilidades del sistema para lanzar cargas útiles.
Asegurar sistemas de control industrial
A medida que los componentes físicos y las redes digitales se integran cada vez más, los entornos industriales deberían dar más importancia a la seguridad. Los actores de la amenaza podrían ver la convergencia como una oportunidad para moverse lateralmente a través de las redes, saltar a través de los sistemas de TI y OT para perpetrar el espionaje industrial y el sabotaje de procesos.Si bien los ataques contra entornos ICS pueden ser complejos, las prácticas básicas de ciberseguridad, como el uso de contraseñas complejas y la implementación de autenticación de dos factores (2FA), en los sistemas deberían ser un paso en la dirección correcta. Hemos esbozado otras estrategias defensivas que las organizaciones deberían adoptar para asegurar sus implementaciones de ICS, como:
- Políticas de acceso y control. Defina el acceso de control a un dispositivo, red o servicio, incluido el acceso físico y digital, estableciendo roles de seguridad y procedimientos de autenticación.
- Detección de intrusos. Monitoree regularmente la actividad del sistema en busca de eventos potencialmente maliciosos en la red.
- Segmentación de red. Separe los sistemas en distintas zonas de seguridad e implemente capas de protección que aislarán las áreas críticas del sistema.
- Endurecimiento del sistema. Bloquee la funcionalidad de varios componentes del sistema para evitar accesos o cambios no autorizados, elimine funciones o características innecesarias y repare cualquier vulnerabilidad conocida.
Fuente: TrendMicro
0 Comentarios