A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Recomandări pentru protecția echipamentelor de control industrial de tip programable logic controlller (PLC) compromise în operațiuni cibernetice recente

2023/12/20
Popularitate -6326

Foto: PicsArt AI

În data de 01 decembrie 2023, Biroul Federal de Investigații (FBI), Agenția pentru Securitate Cibernetică și Securitatea Infrastructurii din SUA (CISA), Agenția Națională de Securitate a SUA (NSA), Agenția pentru Protecția Mediului (EPA) și Direcția Națională Cibernetică din Israel (INCD) au lansat o avertizare comună pentru a evidenția o operațiune cibernetică împotriva unor dispozitive tehnologice operaționale, derulată de către actori cibernetici afiliați Gărzilor Revoluționare Islamice ai Guvernului Iranian (Iranian Government Islamic Revolutionary Guard Corps – IRGC).

Cine este IRGC?

IRGC este o organizație militară iraniană desemnată de Statele Unite drept organizație teroristă străină în anul 2019. CyberAv3ngers, actori cibernetici afiliați IRGC vizează compromiterea echipamentelor de control industrial de tip programable logic controlller (PLC) produse de compania israeliană Unitronics.

Aceste PLC sunt utilizate îndeosebi în sectorul furnizării de apă potabilă și reciclării de apă uzată, dar și în domeniul energetic, al producției de alimente și băuturi și în sectorul medical. PLC vizate sunt vândute atât sub brand-ul producătorului, cât și sub alte brand-uri.

Entități afectate

Începând cu 22 noiembrie 2023, actorii cibernetici afiliați IRGC au compromis dispozitivele Unitronics menționate a căror administrare era disponibilă online pe baza credențialelor de acces implicite. Ulterior, atacatorii afișau pe echipamentele afectate mesajul: “You have been hacked, down with Israel. Every equipment ‘made in Israel’ is CyberAv3ngers legal target.” („Ați fost compromiși, jos cu Israelul.Fiecare echipament «fabricat în Israel» este țintă pentru CyberAv3ngers.”).

În urma verificărilor efectuate în România, a fost identificat un atac similar împotriva unei entități din sectorul epurării apelor uzate, metoda de atac și echipamentele țintă fiind aceleași. Ca și în cazul atacurilor înregistrate în SUA, vizate au fost sistemele PLC fabricate de Unitronix. Atacul nu a avut impact asupra asigurării serviciului furnizat de compania în cauză, deci nu au fost înregistrate daune în ceea ce privește capacitatea entității vizate de a realiza activitățile specifice.    

În conformitate cu aspectele documentate de autoritățile din SUA și Israel menționate, Directoratul Național de Securitate Cibernetică (DNSC) îndeamnă toate organizațiile care utilizează echipamentele menționate, dar și alte PLC, în special organizațiile din sectorul infrastructurii critice, să aplice recomandările enumerate în secțiunea REMEDIERE a acestui material, pentru a reduce riscul de compromitere din partea acestor actori cibernetici afiliați IRGC.

Remediere

Recomandăm organizațiilor din zona de infrastructură critică să implementeze de urgență măsuri de atenuare pentru a îmbunătăți postura de securitate cibernetică a organizației cu privire la amenințarea reprezentată de gruparea CyberAv3ngers.

Atacatorii au accesat probabil dispozitivele afectate exploatând măsurile deficitare de securitate cibernetică, inclusiv utilizarea parolelor standard și expunerea echipamentelor în Internet. Pentru a proteja împotriva acestei amenințări, recomandăm organizațiilor vizate să ia în considerare următoarele:

Măsuri imediate pentru prevenirea atacului

  1. Upgrade dispozitive la 9.9.00 VisiLogic software, care cere utilizatorilor să schimbe parolele implicite pe PLC-uri și HMI-uri. Utilizați o parolă puternică! Pentru mai multe informații, consultați blogul Unitronics Cybersecurity for Vision și Samba PLC Series precum și note de lansare pentru VisiLogic 9.9.00.
  2. Configurați rețelele proprii astfel încât PLC să nu fie accesibile și vizibile direct din/în Internet.

Pași de urmat pentru a vă consolida postura de securitate

  1. Implementați autentificarea multifactor (MFA) pentru accesul la rețeaua de tehnologie operațională (OT) ori de câte ori este cazul.
  2. Dacă aveți nevoie de acces de la distanță, implementați un firewall și/sau o rețea privată virtuală (VPN) în fața PLC, pentru a controla accesul la rețea. Un dispozitiv VPN sau gateway poate permite autentificarea multifactor pentru acces de la distanță, chiar dacă PLC nu acceptă autentificarea multifactor.
  3. Creați copii de rezervă puternice ale configurațiilor PLC-urilor pentru a permite recuperarea rapidă. Familiarizați-vă cu resetările din fabrică și implementarea de backup ca pregătire, în cazul unui potențial atac de tip ransomware.
  4. Păstrați Unitronics și alte dispozitive PLC actualizate cu cele mai recente versiuni lansate de către producător.
  5. Confirmați că furnizorii terți aplică contramăsurile recomandate mai sus, pentru a atenua expunerea acestor dispozitive și a tuturor echipamentelor instalate.

Recomandăm raportarea incidentelor de securitate cibernetică la [email protected].

Indicatori de compromitere

Surse

CISA: IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities

CISA: EPA: Cybersecurity for the Water Sector

 

 

 

 

Postat în: stiri cybersecurity awareness alerta cybersecurity cybersecurity cybersecurity awareness cybersecurity cybersecurity alerta cybersecurity alerta cybersecurity alerta stiri PLC IRGC

Vizualizat de 5066 ori

  • English
  • English


    

    Parteneri

logo-agerpres
logo-dekeneas

    Certificatul digital este asigurat de:

Subiecte populare

Copyright © 2011-2024 DNSC
Feed RSS | Contact | Termeni și condiții