blank

blank

RESUMO

O Federal Bureau of Investigation (FBI), a Agência de Segurança Cibernética e de Infraestrutura (CISA), a Agência de Segurança Nacional (NSA), a Agência de Proteção Ambiental (EPA) e a Diretoria Cibernética Nacional de Israel (INCD) – doravante denominadas “as agências autoras “—estão divulgando este Conselho conjunto de Segurança Cibernética (CSA) para destacar a atividade cibernética maliciosa contínua contra dispositivos de tecnologia operacional por atores cibernéticos de Ameaças Persistentes Avançadas (APT) afiliados ao Corpo da Guarda Revolucionária Islâmica do governo iraniano.

INDÚSTRIAS: Infraestrutura Crítica, Energia, Comida, Bebida, Fabricação, Assistência médica, Envio
PAÍSES-ALVO: Estados Unidos da América, Israel
IDS DE ATAQUE: T1110 – Força Bruta, T1531 – Remoção de acesso à conta, T1057 – Descoberta de Processo, T1125 – Captura de Vídeo

 

O IRGC é uma organização militar iraniana que os Estados Unidos designaram como organização terrorista estrangeira em 2019. Os ciberatores afiliados ao IRGC que usam a persona “CyberAv3ngers” estão ativamente alvejando e comprometendo os controladores lógicos programáveis ​​(PLCs) Unitronics Vision Series de fabricação israelense. Esses PLCs são comumente usados ​​no setor de sistemas de água e águas residuais (WWS) e também são usados ​​em outras indústrias, incluindo, entre outras, energia, fabricação de alimentos e bebidas e saúde. Os PLCs podem ser renomeados e aparecer como fabricantes e empresas diferentes. Além do recente Alerta CISA, as agências autoras estão lançando este CSA conjunto para compartilhar indicadores de compromisso (IOCs) e táticas, técnicas e procedimentos (TTPs) associados às operações cibernéticas do IRGC.

Desde pelo menos 22 de novembro de 2023, esses ciberatores afiliados ao IRGC continuaram a comprometer credenciais padrão em dispositivos Unitronics. Os ciberatores afiliados ao IRGC deixaram uma imagem desfigurada afirmando: “Você foi hackeado, abaixo Israel. Todo equipamento ‘fabricado em Israel’ é alvo legal da CyberAv3ngers.” As vítimas abrangem vários estados dos EUA. As agências autoras instam todas as organizações, especialmente as organizações de infra-estruturas críticas, a aplicarem as recomendações listadas na secção de Mitigações deste comunicado para mitigar o risco de comprometimento por parte destes actores cibernéticos afiliados ao IRGC.

Este comunicado fornece IOCs e TTPs observados que as agências autoras avaliam como provavelmente associados a esta APT afiliada ao IRGC. Para obter mais informações sobre atividades cibernéticas maliciosas patrocinadas pelo Estado iraniano, consulte a página da CISA sobre Visão Geral e Avisos sobre Ameaças Cibernéticas no Irã e a página da Web sobre Ameaças ao Irã do FBI.

AÇÕES A SEREM TOMADAS HOJE PARA MITIGAR ATIVIDADES MALICIOSAS:

  1. Implemente a autenticação multifator.
  2. Use senhas fortes e exclusivas.
  3. Verifique os PLCs quanto às senhas padrão.

Para obter uma versão em PDF deste CSA, consulte:

AA23-335A Ciberatores afiliados ao IRGC exploram PLCs em vários setores, incluindo instalações de sistemas de água e águas residuais dos EUA (PDF, 567,87KB)

Para obter uma cópia dos IOCs para download, consulte:

AA23-335A STIX XML (XML, 15,50KB)

AA23-335A STIX JSON (JSON, 10,84KB)

DETALHES TÉCNICOS

Observação: este comunicado usa a estrutura MITRE ATT&CK ® for Enterprise , versão 14. Consulte a Tabela 1 para ver as atividades dos agentes de ameaça mapeadas para táticas e técnicas MITRE ATT&CK. Para obter assistência no mapeamento de atividades cibernéticas maliciosas para a estrutura MITRE ATT&CK, consulte CISA e MITRE ATT&CK’s Best Practices for MITRE ATT&CK Mapping e CISA’s Decider Tool.

Visão geral

CyberAv3ngers (também conhecido como CyberAveng3rs, Cyber ​​Avengers) é uma personalidade cibernética iraniana do IRGC que assumiu a responsabilidade por vários ataques contra organizações de infraestrutura crítica . responsabilidade por ataques cibernéticos em Israel a partir de 2020. Os CyberAv3ngers alegaram falsamente que comprometeram várias organizações de infraestrutura crítica em Israel. [2] Os CyberAv3ngers também supostamente têm conexões com outro grupo ligado ao IRGC conhecido como Soldados de Salomão.

Mais recentemente, os CyberAv3ngers começaram a ter como alvo instalações WWS baseadas nos EUA que operam PLCs da Unitronics. [1] Os atores da ameaça comprometeram os PLCs da série Vision da Unitronics com interfaces homem-máquina (HMI). Esses dispositivos comprometidos foram expostos publicamente à Internet com senhas padrão e, por padrão, estão na porta TCP 20256.

Esses PLC e controladores relacionados são frequentemente expostos à conectividade externa com a Internet devido à natureza remota de suas funcionalidades de controle e monitoramento. O compromisso está centrado na desfiguração da interface de usuário do controlador e pode tornar o PLC inoperante. Com este tipo de acesso, estão disponíveis acessos mais profundos ao nível do dispositivo e da rede e podem produzir efeitos ciberfísicos adicionais e mais profundos nos processos e equipamentos. Não se sabe se foram pretendidas ou alcançadas atividades cibernéticas adicionais mais profundas nestes PLCs ou nas redes e componentes de controlo relacionados. As organizações devem considerar e avaliar os seus sistemas relativamente a estas possibilidades.

Atividade do ator de ameaça

As agências autoras têm observado a atividade afiliada ao IRGC desde pelo menos outubro de 2023, quando os atores reivindicaram o crédito pelos ataques cibernéticos contra PLCs israelenses em seu canal Telegram. Desde novembro de 2023, as agências autoras observaram que os atores afiliados ao IRGC têm como alvo várias instalações WWS baseadas nos EUA que operam PLCs Unitronics Vision Series. Os agentes de ameaças cibernéticas provavelmente comprometeram esses PLCs, uma vez que os PLCs estavam voltados para a Internet e usavam a senha padrão da Unitronics. A atividade observada inclui o seguinte:

  • Entre 13 de setembro e 30 de outubro de 2023, o canal CyberAv3ngers Telegram exibiu alegações legítimas e falsas de múltiplos ataques cibernéticos contra Israel. Os CyberAv3ngers visaram PLCs israelenses nos setores de água, energia, transporte marítimo e distribuição.
  • Em 18 de outubro de 2023, os Soldados de Salomão, ligados aos CyberAv3ngers, assumiram a responsabilidade pelo comprometimento de mais de 50 servidores, câmeras de segurança e sistemas de gerenciamento de cidades inteligentes em Israel; no entanto, a maioria dessas alegações foi provada falsa. O grupo alegou usar um ransomware chamado “Crucio” contra servidores onde o software da câmera da webcam operava na porta 7001.
  • A partir de 22 de novembro de 2023, os ciberatores do IRGC acessaram várias instalações WWS baseadas nos EUA que operam PLCs Unitronics Vision Series com uma IHM, provavelmente comprometendo dispositivos acessíveis pela Internet com senhas padrão. Os PLCs visados ​​exibiram a mensagem de desfiguração: “Você foi hackeado, abaixo Israel. Todo equipamento ‘fabricado em Israel’ é alvo legal dos Cyberav3ngers.”

INDICADORES DE COMPROMISSO

Consulte a Tabela 1 para obter os IOCs observados relacionados às operações do CyberAv3nger.

Tabela 1: IOCs CyberAv3nger

Indicador Tipo Fidelidade Descrição
BA284A4B508A7ABD8070A427386E93E0 MD5 Suspeito Hash MD5 associado ao Crucio Ransomware
66AE21571FAEE1E258549078144325DC9DD60303

 

 SHA1 Suspeito Hash SHA1 associado ao Crucio Ransomware
440b5385d3838e3f6bc21220caa83b65cd5f3618daea676f271c3671650ce9a3

 

 SHA256

 

 Suspeito Hash SHA256 associado ao Crucio Ransomware

 
178.162.227[.]180 endereço de IP
185.162.235[.]206 endereço de IP

TÁTICAS E TÉCNICAS DE ATT&CK MITRE

Consulte a Tabela 2 para conhecer as táticas e técnicas dos agentes de ameaças referenciadas neste comunicado.

Tabela 2: Acesso Inicial

Título da técnica

EU IA

Usar

Técnicas de Força Bruta T1110 Os atores da ameaça obtiveram credenciais de login, que usaram para fazer login com êxito nos dispositivos Unitronics e fornecer acesso no nível raiz.

MITIGAÇÕES

As agências autoras recomendam que as organizações de infraestrutura crítica, incluindo instalações do setor WWS, implementem as seguintes mitigações para melhorar a postura de segurança cibernética da sua organização para se defender contra a atividade dos CyberAv3ngers. Essas mitigações estão alinhadas com as Metas de Desempenho de Segurança Cibernética (CPGs) intersetoriais desenvolvidas pela CISA e pelo Instituto Nacional de Padrões e Tecnologia (NIST). Os CPGs fornecem um conjunto mínimo de práticas e proteções que a CISA e o NIST recomendam que todas as organizações implementem. A CISA e o NIST basearam os CPGs em estruturas e orientações de segurança cibernética existentes para proteção contra as ameaças, táticas, técnicas e procedimentos mais comuns e impactantes. Visite as Metas de desempenho de segurança cibernética intersetorial da CISA para obter mais informações sobre os CPGs, incluindo proteções básicas adicionais recomendadas.

Nota: As mitigações abaixo baseiam-se na atividade dos agentes de ameaça contra os PLCs da Unitronics, mas aplicam-se a todos os PLCs voltados para a Internet.

Defensores da Rede

Os atores da ameaça cibernética provavelmente acessaram os dispositivos afetados – CLPs Unitronics Vision Series com IHM – explorando pontos fracos da segurança cibernética, incluindo segurança de senha deficiente e exposição à Internet. Para se proteger contra esta ameaça, as agências autoras instam as organizações a considerar o seguinte:

Etapas imediatas para evitar ataques:

  • Altere todas as senhas padrão nos CLPs e IHMs e use uma senha forte. Certifique-se de que a senha padrão do Unitronics PLC não esteja em uso.
  • Desconecte o PLC da Internet pública.

Etapas subsequentes para fortalecer sua postura de segurança:

  • Implementar autenticação multifatorial para acesso à rede de tecnologia operacional (TO) sempre que aplicável.
  • Se precisar de acesso remoto, implemente um firewall e/ou rede privada virtual (VPN) na frente do PLC para controlar o acesso à rede. Uma VPN ou dispositivo gateway pode ativar a autenticação multifator para acesso remoto, mesmo que o PLC não suporte a autenticação multifator.
  • Crie backups robustos da lógica e das configurações dos PLCs para permitir uma recuperação rápida. Familiarize-se com as redefinições de fábrica e a implantação de backup como preparação em caso de atividade de ransomware.
  • Mantenha seu Unitronics e outros dispositivos PLC atualizados com as versões mais recentes do fabricante.
  • Confirme que os fornecedores terceirizados estão aplicando as contramedidas recomendadas acima para mitigar a exposição desses dispositivos e de todos os equipamentos instalados.

Além disso, as agências autoras recomendam que os defensores da rede apliquem as seguintes mitigações para limitar o uso potencialmente adversário de técnicas comuns de descoberta de sistemas e redes e para reduzir o impacto e o risco de comprometimento por parte dos atores de ameaças cibernéticas:

  • Reduza a exposição ao risco. A CISA oferece uma gama de serviços gratuitos, incluindo varredura e testes para ajudar as organizações a reduzir a exposição a ameaças por meio da mitigação de vetores de ataque. Os serviços CISA Cyber ​​Hygiene podem ajudar a fornecer análises adicionais dos ativos acessíveis pela Internet das organizações. Envie um e-mail para [email protected] com o assunto “Solicitando serviços de higiene cibernética” para começar.

Fabricantes de dispositivos

Embora as organizações de infraestrutura crítica que usam dispositivos PLC da Unitronics (incluindo a marca Unitronics) possam tomar medidas para mitigar os riscos, em última análise, é responsabilidade do fabricante do dispositivo construir produtos que sejam seguros por design e padrão. As agências autoras incentivam os fabricantes de dispositivos a se apropriarem dos resultados de segurança de seus clientes, seguindo os princípios doOT guia conjunto Mudando o equilíbrio do risco de segurança cibernética: princípios e abordagens para software seguro desde o design, principalmente:

  • Não envie produtos com senhas padrão. Em vez disso, envie produtos com senhas iniciais aleatórias ou exija que os usuários alterem a senha na primeira utilização.
  • Não exponha interfaces administrativas à Internet por padrão e tome medidas para introduzir atrito caso um dispositivo seja colocado em um estado inseguro.
  • Não cobre extra por recursos básicos de segurança necessários para operar o produto com segurança.
  • Suporta autenticação multifator, inclusive por meio de métodos resistentes a phishing.

Ao usar táticas seguras desde o design, os fabricantes de software podem tornar suas linhas de produtos seguras “prontas para uso”, sem exigir que os clientes gastem recursos adicionais fazendo alterações de configuração, comprando software e logs de segurança em camadas, monitorando e fazendo atualizações de rotina.

Para obter mais informações sobre configurações incorretas comuns e orientações sobre como reduzir sua prevalência, consulte a consultoria conjunta NSA e CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations . Para obter mais informações sobre segurança desde o design, consulte a página da Web Secure by Design and Default e o guia conjunto da CISA.

VALIDAR CONTROLES DE SEGURANÇA

Além de aplicar mitigações, as agências autoras recomendam exercitar, testar e validar o programa de segurança da sua organização contra os comportamentos de ameaça mapeados para a estrutura MITRE ATT&CK for Enterprise neste comunicado. As agências autoras recomendam testar seu inventário de controles de segurança existente para avaliar seu desempenho em relação às técnicas ATT&CK descritas neste comunicado.

Para começar:

  1. Selecione uma técnica ATT&CK descrita neste comunicado (consulte a Tabela 2).
  2. Alinhe suas tecnologias de segurança com a técnica.
  3. Teste suas tecnologias em relação à técnica.
  4. Analise o desempenho das suas tecnologias de detecção e prevenção.
  5. Repita o processo para todas as tecnologias de segurança para obter um conjunto abrangente de dados de desempenho.
  6. Ajuste seu programa de segurança, incluindo pessoas, processos e tecnologias, com base nos dados gerados por esse processo.

As agências autoras recomendam testar continuamente seu programa de segurança, em escala, em um ambiente de produção para garantir o desempenho ideal em relação às técnicas MITRE ATT&CK identificadas neste comunicado.

RECURSOS

COMUNICANDO

Todas as organizações devem relatar atividades suspeitas ou criminosas relacionadas às informações deste CSA à CISA por meio do Centro de Operações 24 horas por dia, 7 dias por semana da CISA ([email protected] ou 888-282-0870). O FBI incentiva os destinatários deste documento a relatar informações relativas a atividades suspeitas ou criminosas ao escritório local do FBI ou ao IC3.gov. Para requisitos de clientes da NSA ou dúvidas gerais sobre segurança cibernética, entre em contato com [email protected].

Além disso, o WaterISAC incentiva os membros a compartilhar informações enviando um e-mail para [email protected], ligando para 866-H2O-ISAC ou usando o formulário de relatório de incidentes on-line. Os governos estaduais, locais, tribais e territoriais devem relatar incidentes ao MS-ISAC ( [email protected] ou 866-787-4722).

REFERÊNCIAS

  1. CBS News: Autoridade Municipal de Água de Aliquippa hackeada por grupo cibernético apoiado pelo Irã
  2. Cibernética Industrial: Campos de Batalha Digitais – Guerra Cinética Híbrida em Evolução
  3. Bleeping Computer: Maior site de refinaria de petróleo de Israel off-line após ataque DDoS
  4. Leitura sombria: site da refinaria de petróleo israelense retirado do ar por atacantes pró-iranianos
  5. X: @CyberAveng3rs

ISENÇÃO DE RESPONSABILIDADE

As informações contidas neste relatório são fornecidas “como estão” apenas para fins informativos. As agências autoras não endossam nenhuma entidade comercial, produto, empresa ou serviço, incluindo quaisquer entidades, produtos ou serviços vinculados neste documento. Qualquer referência a entidades comerciais específicas, produtos, processos ou serviços por marca de serviço, marca registrada, fabricante ou de outra forma, não constitui nem implica endosso, recomendação ou favorecimento por parte das agências de autoria.

HISTÓRICO DE VERSÃO

1º de dezembro de 2023: Versão inicial.

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor