CISA dos EUA avisa que hackers estão construindo arsenal para atacar sistemas de controle industrial

Em mais um aviso oficial, as autoridades dos EUA estão pedindo maior alerta e um maior reforço das medidas de segurança dentro da infraestrutura crítica. Em um comunicado conjunto de segurança cibernética em meados de abril, várias autoridades e instituições dos EUA, incluindo FBI, NSA, Agência de Segurança Cibernética e Infraestrutura (CISA) e o Departamento de Energia, alertaram mais uma vez que os agentes de ameaças estão se preparando para ataques.

Hackers visando controladores lógicos

O novo aviso de segurança destacou especificamente o perigo potencial para vários sistemas, incluindo vários sistemas de controle industrial (ICS) e dispositivos de controle de supervisão e aquisição de dados (SCDA).

Esse alerta é um pouco mais específico e peculiar do que muitos dos que vieram antes dele, focados no setor bancário ou grandes redes de fornecedores essenciais, como fornecedores de combustíveis e fabricantes de alimentos. No entanto, este aviso é sobre hackers desenvolvendo ferramentas que podem direcionar controladores lógicos programáveis ou CLPs.

O alerta destaca especificamente vários fabricantes de PLC que as agências e autoridades acreditam que serão especificamente visados. Isso inclui controladores produzidos pela Schneider Electric e Omron Sysmac. A lista de destinos potenciais também inclui servidores que executam a Arquitetura Unificada de Comunicações de Plataforma Aberta.

As agências alertam que os agentes avançados de ameaças persistentes desenvolveram ferramentas que podem atingir dispositivos ISC e SCDA, primeiro verificando-os e depois assumindo o controle. Combinando isso com a capacidade de infectar estações de TI de engenharia que executam o Windows e elevam o acesso, os possíveis cenários pintados pelo alerta de segurança cibernética são sombrios.

Bug do driver ASRock apresenta exploit perigoso

O alerta de segurança entra em mais detalhes para descrever as ferramentas que se acredita estarem nas mãos dos hackers e APTs. Essas ferramentas são supostamente modulares e fornecem acesso fácil ao console virtual, permitindo que hackers interajam com o hardware. O malware é descrito como permitindo a exploração "altamente automatizada" do hardware alvo.

O alerta também destaca uma vulnerabilidade conhecida nas placas-mãe ASRock que afeta um arquivo de driver da placa-mãe chamado AsrDrv103.sys. Codificada sob CVE-2020-15368, a vulnerabilidade permite movimento lateral e interrupção de serviços críticos. A exploração é particularmente perigosa, pois permite a execução de código arbitrário até o nível do kernel do Windows, que é uma maneira infalível de contornar quase todos os softwares de segurança.