Ataque Colonial Pipeline: Hackear el mundo físico


El ataque es un recordatorio de las crecientes amenazas cibernéticas a la infraestructura crítica al tiempo que muestra por qué los proveedores de servicios esenciales son objetivos maduros para los ciberdelincuentes.

Si bien los detractores han argumentado que las amenazas contra la infraestructura física son exageradas y en gran medida teóricas, la creciente lista de organizaciones que han sido atacados con éxito sugiere lo contrario. Y ahora los medios de comunicación están llenos de informes sobre los efectos del flujo ataque de ransomware nivelado contra Colonial Pipeline por el Banda de ciberdelincuentes DarkSide. De hecho, han pasado muchas cosas desde entonces: presidente de EE. UU. Joe Biden ha firmado una orden ejecutiva destinado a mejorar las ciberdefensas de la nación y la empresa ha reiniciado las operaciones normales, mientras que DarkSide afirma tener liquidar el negocio y tambien hay informes que Colonial Pipeline pagó a la banda $ 5 millones en rescate.

Independientemente, mientras la investigación sobre el ataque está en curso, la detección de Acquire32 / Filecoder.DarkSide ha estado en juego desde octubre de 2020, por lo que los atacantes no parecen estar usando algunos programas súper furtivos patrocinados por el estado. Día cero explotar para comprometer sus objetivos.

Durante años, hemos notado que los posibles atacantes sondean silenciosamente los objetivos de la infraestructura crítica, incluso lanzan ataques contra objetivos específicos de alto valor, como en los ejemplos enumerados anteriormente. Esto no muestra signos de desaceleración. Cuando ocurrieron esos ataques, se nos preguntó si veríamos esfuerzos similares en el mercado norteamericano. Dijimos que sí. Teníamos razón.

Es interesante que en el caso de NotPetya (también conocido como Diskcoder.C), las partes específicas del ataque por sí mismas tampoco fueron días cero súper locos. En el entorno true, la realidad es que los atacantes no es necesario quemar cero días pueden entrar sin ellos.

Al dedicar mucho tiempo a comprender la purple y la infraestructura de un objetivo, las secuencias de ataque especialmente diseñadas son sorprendentemente efectivas con un alto grado de amenazas listas para usar que conocemos desde hace años.

Si bien ha habido un esfuerzo de seguridad significativo por parte de los operadores de infraestructura crítica en los últimos años, están comenzando con equipos, equipos de pink y protocolos de comunicaciones de décadas de antigüedad. Esto significa que tienen poco más que protocolos seriales (sin seguridad), Modbus, que no es mucho mejor, o uno de los pocos que son igualmente inseguros. Se colocaron en las puertas de enlace de seguridad y han avanzado a pasos agigantados, pero todavía es relativamente fácil encontrar grietas en la armadura de seguridad. Están aumentando las tecnologías de comunicación seguras, pero el esfuerzo aún parece incipiente.

Agregue a esto el impacto de cerrar una parte de la infraestructura física que en su mayoría damos por sentado, y los atacantes tienen fruta madura lista para la cosecha.

Mientras tanto, los operadores de infraestructura crítica intentan alejar a los especialistas en seguridad de Silicon Valley para que trabajen en la cima de una montaña remota para asegurar una instalación crítica con su tecnología obsoleta. Esto puede ser poco atractivo y, por lo tanto, difícil de vender si la otra opción es una nueva empresa en una gran ciudad.

Pero cuando las luces, el agua, el combustible o las redes de comunicación se detengan repentinamente, espere un enfoque renovado en la seguridad de la infraestructura crítica.

Y si bien hay grupos serios de expertos en tecnología que están impulsando iniciativas específicas para frustrar el ransomware, es desconcertante saber que los atacantes aún pueden ser efectivos utilizando amenazas de hace años contra las que pensamos que todos estábamos protegidos y que habíamos resuelto.





Enlace a la noticia first