Роквелл радить відключати пристрої ICS, що виходять в Інтернет, на тлі кіберзагроз

22 травня 2024 рРедакціяБезпека/вразливість ICS

Rockwell Automation просить своїх клієнтів відключити всі промислові системи управління (ICS), які не призначені для підключення до загальнодоступного Інтернету, щоб зменшити несанкціоновану або зловмисну кіберактивність.

Компанія заявила, що видає попередження через «підвищену геополітичну напруженість і ворожу кіберактивність у всьому світі».

З цією метою клієнтів просять вжити негайних заходів, щоб визначити, чи є у них пристрої, доступні через Інтернет, і, якщо так, від’єднати ті, які не призначені для викриття.

«Користувачі ніколи не повинні налаштовувати свої активи для підключення безпосередньо до загальнодоступного Інтернету», — додала Rockwell Automation.

«Видалення цього посилання як проактивний крок зменшує поверхню атаки та може негайно зменшити вплив несанкціонованої та зловмисної кіберактивності з боку зовнішніх загроз».

Крім того, організації повинні переконатися, що вони прийняли необхідні засоби пом’якшення та виправлення для захисту від таких недоліків, які впливають на їхні продукти:

Попередження також опублікувало Агентство з кібербезпеки та безпеки інфраструктури США (CISA), яке також рекомендує користувачам і адміністраторам дотримуватися відповідних заходів, викладених у вказівках, щоб зменшити ризик.

Зловмисне програмне забезпечення для ПЛК на базі Інтернету

Це включає консультацію 2020 року, видану спільно CISA та Агентством національної безпеки (NSA), яка попереджає про те, що зловмисники використовують доступні в Інтернеті операційні технології (OT) для здійснення кіберактивності, яка може становити серйозну загрозу для критичної інфраструктури.

«Кіберактори, включно з передовими групами стійких загроз (APT), в останні роки націлювалися на системи OT/ICS, щоб досягти політичної вигоди, економічної переваги та, можливо, здійснити руйнівний вплив», — зазначило АНБ у вересні 2022 року.

Також було помічено, що зловмисники підключаються до загальнодоступних програмованих логічних контролерів (PLC) і змінюють логіку керування, щоб викликати небажану поведінку.

Насправді нещодавні дослідження, представлені групою вчених з Технологічного інституту Джорджії на симпозіумі NDSS у березні 2024 року, показали, що можна здійснити атаку у стилі Stuxnet, скомпрометувавши веб-додаток (або інтерфейси людина-машина) розміщених на веб-серверах, вбудованих у ПЛК.

Це передбачає використання веб-інтерфейсу ПЛК, який використовується для віддаленого моніторингу, програмування та конфігурації, щоб отримати початковий доступ, а потім скористатися перевагами легітимних інтерфейсів прикладного програмування (API) для саботування основних механізмів реального світу.

«Такі атаки включають фальсифікацію показань датчиків, відключення охоронної сигналізації та маніпулювання фізичними тригерами», — сказали дослідники. «Поява Інтернет-технологій у промислових середовищах управління принесла нові проблеми безпеки, яких немає в сфері ІТ або споживчих пристроїв IoT».

Нове веб-зловмисне програмне забезпечення для ПЛК має значні переваги перед існуючими методами зловмисного програмного забезпечення для ПЛК, такі як незалежність від платформи, легкість розгортання та вищий рівень стійкості, що дозволяє зловмиснику непомітно виконувати зловмисні дії без необхідності налаштування логіки керування зловмисним програмним забезпеченням.

Щоб захистити мережі OT та ICS, доцільно обмежити доступ системної інформації, контролювати та захищати віддалені точки доступу, обмежувати доступ до мережі та контролювати інструменти та сценарії системних додатків для законних користувачів, виконувати періодичні перевірки безпеки та впроваджувати динамічне мережеве середовище.