Hack de servicios públicos de agua podría inspirar a más intrusos



Si los ciberataques pasados ​​son una indicación, el éxito engendra imitación. A raíz del hackeo de la empresa de agua de Florida la semana pasada, otras empresas de agua y usuarios de application de escritorio remoto harían bien en apuntalar las defensas, dicen los expertos.

El ataque al sistema de tratamiento de agua en la pequeña ciudad de Oldsmar, Florida, carecía de sofisticación técnica, no mostraba ningún conocimiento interno del sistema y tenía todas las características de un pirata informático que se paseaba por un sistema crítico.

Sin embargo, el hecho de que un atacante poco sofisticado haya comprometido un sistema, haya cambiado la mezcla química para tratar el agua y haya podido dañar a las personas probablemente tendrá un efecto dominó y atraerá a más atacantes para probar la ciberseguridad de los sistemas de agua municipales, dice Padraic O&#39Reilly. , cofundador y jefe de producto de CyberSaint, una empresa de gestión de riesgos de TI.

«No nos importa si es un viaje divertido o no, porque ahora la gente sabe que es posible», dice. «No importa si se trata de un estado-nación, porque en este momento eso es solo una suposición. Pero lo que les está indicando a los malos actores es que esto es posible y tal vez demasiado fácil de hacer».

Los ciberataques tienden a ir donde hay vulnerabilidades demostradas, dicen los investigadores. En 2017, por ejemplo, grupos de investigación independientes identificaron vulnerabilidades significativas en el procesador Intel, denominado Meltdown y Spectre. Durante los dos años siguientes, los investigadores encontraron numerosas variaciones de la clase de vulnerabilidad en procesadores de Intel y otros fabricantes de chips.

Las tendencias de ataques anteriores también han demostrado un vínculo entre la explotación exitosa de vulnerabilidades y el interés de los atacantes. Las vulnerabilidades en el software program del servidor OpenSSL, comúnmente conocido como Heartbleed, llevaron a un escaneo generalizado en busca de sistemas y ataques vulnerables. Además, los ataques específicos, como el ataque Stuxnet de Estados Unidos e Israel contra la capacidad de procesamiento de uranio de Irán, posiblemente llevaron a una escalada en las operaciones cibernéticas a nivel de los estados nacionales.

El sector de servicios públicos de agua, que incluye instalaciones que tratan agua potable o procesan aguas residuales, o ambos, se ha tomado la amenaza en serio, pero tiene trabajo por hacer, dice Michael Arceneaux, director gerente de WaterISAC, un centro de análisis e intercambio de información (ISAC ) para dichos servicios de agua.

«La ciberseguridad ha sido una preocupación en los últimos años para el sector, y tenemos varios recursos, pero hay espacio para mejorar y para más recursos para los sistemas que no cuentan con fondos suficientes», dice.

El jueves, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), que forma parte del Departamento de Seguridad Nacional de EE. UU., Emitió una alerta con nuevos detalles sobre el compromiso. La intrusión está siendo investigada por la Oficina del Sheriff del Condado de Pinellas (PCSO), el Servicio Secreto de los Estados Unidos (USSS) y el FBI.

La alerta señala que varias agencias gubernamentales «han observado ciberdelincuentes que atacan y explotan software de uso compartido de escritorio y redes de computadoras que ejecutan sistemas operativos con estado de fin de vida útil para obtener acceso no autorizado a los sistemas». El aviso destaca el uso de software package de escritorio remoto, como TeamViewer y RDP de Microsoft, y sistemas operativos al ultimate de su vida útil, como Windows 7, como peligrosos.

En ambos casos, los atacantes pueden usar instalaciones inseguras tanto de application de escritorio remoto como de sistemas operativos más antiguos para comprometer sigilosamente las redes.

«Más allá de sus usos legítimos, TeamViewer permite a los ciber actores ejercer control remoto sobre los sistemas informáticos y colocar archivos en las computadoras de las víctimas, lo que lo hace funcionalmente identical a los troyanos de acceso remoto (RAT)». los estados de alerta. «Sin embargo, el uso legítimo de TeamViewer hace que las actividades anómalas sean menos sospechosas para los usuarios finales y los administradores de sistemas en comparación con las RAT».

Si bien los intrusos de la planta de tratamiento de agua de Oldsmar obtuvieron acceso con éxito, no pudieron, y probablemente no tenían el conocimiento para, evadir la visibilidad del operador en las operaciones de la planta o esquivar los controles redundantes sobre la composición química del agua. Sin embargo, un intruso más sofisticado posiblemente podría tomar tales acciones, afirmó Joe Slowik, investigador senior de seguridad de la firma de seguridad de red DomainTools, en un análisis.

En comparación con la operación Stuxnet entre Estados Unidos e Israel, dos ataques rusos a la crimson eléctrica de Ucrania y un ataque a una planta petroquímica en Arabia Saudita, por parte de Irán, dicen los expertos en seguridad, la intrusión de Oldsmar carecía de la capacidad de afectar la visibilidad de las acciones que se estaban tomando. , él dijo.

«Si la entidad desconocida hubiera falsificado o interferido de alguna otra manera con los parámetros de visualización de la HMI (interfaz hombre-máquina) o los datos del sensor, sería menos probable que el operador de turno notara el incidente a medida que se producía, lo que daría lugar a un ataque que pasara a la ingeniería y el proceso. controles para la posible mitigación o detección «, dijo Slowik. «El intruso no solo no pudo limitar o manipular la vista del proceso en el entorno, sino que ejecutó el evento durante el horario de trabajo principal en un día laborable, casi asegurando que dicha actividad se notará rápidamente y se mitigará».

Para las empresas de agua, entonces, centrarse en mejorar la redundancia y la visibilidad de la pink debería ser una prioridad. Sin embargo, la falta de fondos para las instalaciones de tratamiento de agua municipales y locales a menudo significa que la ciberseguridad es una ocurrencia tardía. El «perfil de ciberseguridad austero» de usar sistemas operativos obsoletos, no implementar las mejores prácticas y un presupuesto que no mantiene la ciberseguridad actualizada es común para las organizaciones del sector público, según la firma de inteligencia de amenazas Intel471 declarado en una publicación de blog.

«Los actores de la clandestinidad de los ciberdelincuentes entienden que el perfil se adapta a miles de empresas en todo el mundo, lo que les da un objetivo rico en el que fijarse», dijo la compañía.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Studying, MIT&#39s Engineering Assessment, Common Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first