El FBI y el Servicio Secreto investigan un ciberataque en una planta de tratamiento de agua de Florida


Los funcionarios locales dijeron que alguien tomó el control de su sistema TeamViewer y aumentó peligrosamente los niveles de lejía en el agua de la ciudad.

Válvula de agua grifo de acero de la junta de plomería roja tienen tubería de reparación de cerca

Imagen: Getty Images / iStockphoto

La policía federal ahora está investigando un ciberataque en una planta de tratamiento de agua en Oldsmar, FL, donde alguien pudo acceder de forma remota a los sistemas y agregar una cantidad peligrosa de productos químicos al suministro de agua de la ciudad.

El lunes, el alguacil del condado de Pinellas, Bob Gualtieri explicado durante una conferencia de prensa que un empleado de la planta de tratamiento de agua de Oldsmar vio a su ratón moverse independientemente de él el viernes por la mañana, pero no le dio importancia es común que las personas en el campo accedan de forma remota a los sistemas a través de su computer software TeamViewer.

Pero volvió a suceder esa misma tarde, según Gualtieri, y esta vez la persona que movía el ratón cambió los niveles de lejía, o hidróxido de sodio, de 100 partes por millón a 11.100 partes por millón. La sustancia química se utiliza para ayudar a los funcionarios a administrar los niveles de pH del agua potable de la ciudad. Pero cuando se agrega hidróxido de sodio en esos niveles al agua, puede resultar peligroso para las personas incluso tocarlo.

«Obviamente, este es un aumento significativo y potencialmente peligroso. El hidróxido de sodio es el ingrediente principal en los limpiadores de drenaje líquidos. También se usa para controlar la acidez del agua y eliminar metales del agua potable en las plantas de tratamiento de agua», dijo Gualtieri.

VER: Política de respuesta a incidentes (TechRepublic Quality)

La persona en su computadora que observaba al pirata informático hacer esto inmediatamente volvió a la normalidad y llamó a su outstanding, quien luego llamó a la policía.

La situación ahora se ha convertido en noticia nacional, con el senador de Florida Marco Rubio preguntando al FBI pidiendo ayuda y escribiendo en Twitter que esto «debería ser tratado como una cuestión de seguridad nacional».

Gualtieri y otros que trabajan en la planta dijeron que nunca hubo ningún peligro porque la planta de tratamiento tiene varios sistemas para asegurarse de que no se pueda implementar un cambio como ese. Incluso si se implementara, tomaría alrededor de 24 horas para que el químico ingresara a la corriente de agua, señaló Gualtieri.

Ecos de ataques anteriores

Pero la situación generó preocupaciones y referencias a ataques similares que han tenido lugar en todo el mundo.

Muchos en línea hicieron referencia a Ataque ruso a una red eléctrica de Ucrania en 2015 y otro ataque al menos dos plantas de tratamiento de agua israelíes el año pasado.

Justin Fier, ex oficial de inteligencia nacional y director de inteligencia cibernética de la firma de ciberseguridad Darktrace, dijo que el ataque «fue un claro recordatorio de los riesgos que provienen del mundo hiperconectado en el que vivimos».

«Los sistemas ICS analógicos se han actualizado o modernizado con sistemas de control y monitoreo remoto, lo que exaspera el gran desafío al que se enfrentan los defensores en la actualidad. Los gobiernos de todo el mundo sin duda observarán este incidente y probarán sus propios sistemas para ver si son igualmente vulnerables, «Dijo Fier. Señaló que la atención de los medios en torno al ataque también puede haber sido un objetivo de las personas detrás de él.

«Esta vez, un movimiento de aficionado del cursor de un ratón deshonesto delató a los preparadores, pero estamos viendo un fuerte aumento de atacantes sofisticados y sigilosos que pasan desapercibidos. ¿Qué sucederá la próxima vez que no haya una luz roja intermitente? Entornos críticos no falles con gracia «.

El auge de las herramientas remotas

Muchos expertos en ciberseguridad dijeron que el paso al uso de herramientas remotas como TeamViewer fue una consecuencia de la pandemia de COVID-19 y un cambio más standard hacia los sistemas de digitalización. Pero esta digitalización vino con desventajas, como se ve en este ciberataque.

También se está volviendo cada vez más fácil para los atacantes simplemente elegir objetivos desprotegidos de un sombrero utilizando plataformas como Shodan y otras. Etay Maor, director senior de estrategia de seguridad de Cato Networks, dijo que ataques como este han ocurrido antes, tanto en los EE. UU. Como en el extranjero, pero que la creciente dependencia del acceso remoto y los sistemas de administración remota estaba facilitando que los piratas informáticos promedio hicieran daño.

Maor compartió una búsqueda simple que hizo hoy en Shodan para sistemas Remote FrameBuffer que no tienen un nombre de usuario o contraseña habilitados. Había más de 6.300 disponibles, con aproximadamente 900 en los EE. UU. Y aproximadamente 1.500 en Suecia.

«Mire cuántos resultados obtuve de esta búsqueda muy ingenua y straightforward. Puedo ejecutar búsquedas similares para protocolos, program, hardware, etc. específicos. Asegurar estos sistemas no es una tarea fácil, por un lado, usted quiere una administración y administración fáciles «Piense en una situación de emergencia», dijo Maor.

«Sin embargo, estos sistemas deben estar debidamente protegidos, utilizar más que solo un nombre de usuario y contraseña para la autenticación y monitorear constantemente las amenazas y los intentos de infracciones. La administración remota, al igual que el trabajo remoto, es realmente una tarea difícil en estos días nos apresuraron a esta situación, una que en realidad puede requerir una nueva forma de pensar acerca de cómo conectar, asegurar y administrar todos estos sistemas mientras se permite la productividad y la eficiencia «.

Para ilustrar lo fácil que es para los ciberatacantes, Maor compartió una captura de pantalla de su búsqueda en Shodan, que muestra lo basic que es buscar y obtener acceso a una variedad de empresas de servicios públicos que utilizan este tipo de herramientas remotas.

«Estoy literalmente a un clic de controlar este sistema, sea el que sea», señaló Maor.

Andrea Carcano, cofundadora de Nozomi Networks, se hizo eco de esos comentarios y señaló la relativa falta de sofisticación en el ataque porque el atacante no ocultó su presencia visible al personalized que monitoreaba la operación de tratamiento de agua.

Carcano agregó que el atacante tampoco sabía que un cambio tan masivo desencadenaría sistemas automatizados y alertas, lo que significa que la persona no tenía ningún conocimiento previo sobre el sistema.

«Sin embargo, este incidente es importante porque refleja el estado de demasiadas instalaciones de sistemas de manage industrial, especialmente aquellas con presupuestos más pequeños y un tamaño más pequeño, donde la seguridad a menudo se pasa por alto», dijo Carcano.

«El acceso remoto, en specific, cuando no está diseñado teniendo en cuenta la seguridad, es a menudo la cabeza de playa utilizada por los atacantes remotos para infiltrarse en una red ICS. En este mismo caso, la planta de tratamiento de agua de Oldsmar ha estado usando una instancia de TeamViewer, que aparentemente fue accesible desde Online «.

Seyi Fabode, director ejecutivo de la empresa de monitoreo del sistema de distribución de agua Varuna, explicó que la industria del sistema de agua está perdiendo una cantidad significativa de experiencia a medida que se retira una generación de expertos, lo que deja a muchas instalaciones de tratamiento luchando por encontrar personas que puedan detectar cualquier cambio anómalo como el uno que el hacker estaba tratando de lograr.

La necesidad de tecnología actualizada también traía sus propios problemas debido a la escasez de talento en ciberseguridad.

«A medida que se introducen nuevas herramientas tecnológicas en la industria (IoT, nuevos métodos de tratamiento, and so on.), la industria carece de la experiencia para detectar este tipo de actividad de piratería», dijo Fabode, y agregó que period importante para las empresas comprender la ciberseguridad y también Disponer de sistemas para detectar anomalías. «Son sistemas de agua, no empresas de tecnología, y sus socios proveedores deberían ser expertos en tecnología y brindar el soporte».

Servicios públicos como objetivos

Algunos expertos en ciberseguridad hicieron referencia a 2016 caso donde la pequeña presa de Bowman Avenue en Rye Brook, Nueva York, fue blanco de piratas informáticos iraníes como parte de un complot más amplio.

Austin Berglas, exjefe del FBI NY Cyber ​​y ahora ejecutivo de la firma de ciberseguridad BlueVoyant fue el líder en la investigación del caso de Bowman Avenue Dam y dijo que las instalaciones de suministro de agua han sido durante mucho tiempo blanco de ataques cibernéticos tanto por parte de entidades criminales como patrocinadas por el estado.

«Las instalaciones de agua dependen de los sistemas de manage de sistemas y adquisición de datos (SCADA) para administrar el proceso automatizado o la distribución y el tratamiento del agua. Muchos de estos sistemas de control industrial están desactualizados, sin parches y disponibles para su revisión en Net, lo que los hace increíblemente vulnerables al compromiso. «, Dijo Berglas.

«Además, muchas soluciones ICS fueron diseñadas para entornos que no están conectados a Internet y, por lo tanto, no incorporaron ciertos controles de seguridad básicos. Esto ofrece vulnerabilidades adicionales a medida que cada vez más entornos de tecnología operativa permiten el acceso a sus sistemas ICS desde Net», agregó Berglas. , destacando la vulnerabilidad de cierta infraestructura crítica cuando se permite que sus sistemas ICS estén expuestos a World wide web y no aislados.

A lo largo de 2020, hubo cientos de ciberataques en escuelas y hospitales, lo que generó preocupaciones sobre la capacidad del país para proteger empresas críticas.

Pero muchos expertos en ciberseguridad dijeron que los gobiernos extranjeros, incluido el propio Estados Unidos, han pasado años apuntando a los servicios públicos debido al daño que podrían causar los ataques.

El vicepresidente de Cerberus Sentinel, Chris Clements, explicó que el mes pasado, una empresa de servicios públicos en Independence, MO sufrió un ciberataque que derribó su portal de pago durante un mes, lo que provocó que los residentes recibieran una facturación por 60 días de uso a la vez.

Clements y otros, como el CEO de Vectra, Hitesh Sheth, dijeron que las empresas de servicios públicos y otra infraestructura tenían que ir más allá de simplemente arrojar dinero al problema e implementar controles más estrictos antes de que sea demasiado tarde.

«Los servicios públicos, incluidos los sistemas de energía y agua, han sido los principales objetivos de los ataques cibernéticos durante años. Hay todo un equipo cibernético ruso, &#39Energetic Bear&#39, centrado en piratear la infraestructura energética estadounidense», dijo Sheth.

«En el caso de Oldsmar, es prematuro asignar un motivo o culpar. Sin embargo, hemos visto suficientes violaciones de la pink eléctrica, los sistemas de agua e incluso las plantas nucleares de EE. UU. Para concluir esto: proteger estas instalaciones críticas y mejorar sus defensas cibernéticas , debería ser una prioridad mucho más alta «.

Ver también





Enlace a la noticia primary