Las organizaciones de infraestructura crítica en los Estados Unidos están siendo atacadas por malware personalizado diseñado específicamente para el hardware que utilizan, advierten las agencias de seguridad y aplicación de la ley del país.
La nueva advertencia fue emitida conjuntamente por el Departamento de Energía (DOE), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI).
En él, las agencias advierten contra los actores de amenazas que colocan múltiples sistemas de control industrial (ICS) y dispositivos de control de supervisión y adquisición de datos (SCADA) en su punto de mira, a saber, controladores lógicos programables (PLC) de Schneider Electric, OMRON Sysmac NEX y PLC de plataforma abierta. Servidores de arquitectura de comunicaciones unificadas (OPC UA).
Más específicamente, los PLC MODICON y MODICON Nano de Schneider Electric, incluidos TM251, TM241, M258, M238, LMC058 y LMC078; y los PLC Sysmac NJ y NX de OMRON, incluidos NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK y R88D-1SN10F-ECT.
Aparentemente, uno de los actores de amenazas se llama CHERNOVITE y está tratando de implementar un malware llamado PIPEDREAM. Los investigadores de seguridad de la firma de ciberseguridad Dragos han estado rastreando el malware específico de ICS durante algún tiempo y descubrieron que inicialmente se dirigía a los controladores de Schneider Electric y Omron. Al aprovechar la funcionalidad nativa de los puntos finales en las operaciones, el malware es un poco más difícil de detectar.
El CEO de Dragos, Robert Lee, cree que CHERNOVITE es un atacante patrocinado por el estado.
Una empresa de ciberseguridad separada, Mandiant, rastreó otra pieza de malware, llamada INCONTROLLER. Este también apunta a las herramientas de Schneider Electric y también es creado y operado por un atacante patrocinado por el estado.
Aunque no se nombró ningún país, la publicación recuerda que funcionarios ucranianos anunciaron recientemente la detención de un ataque a una instalación energética.
Hablando con The Record, director de tecnología de la compañía de software de seguridad cibernética ICS aDolus Technology, dijo que los servidores Schneider Electric MODICON PLC y OPC Unified Architecture (OPC UA) probablemente sean objetivos porque son extremadamente comunes en la industria.
Las fallas potenciales que podrían explotarse podrían proporcionar a los atacantes privilegios elevados, movimiento lateral en un entorno OT y permitir la interrupción de dispositivos o funciones críticas, agregó.
Vía: El archivo
