Categorie
Sicurezza Informatica

Infrastrutture critiche statunitensi prese di mira da malware complessi

Hacher
Tempo di lettura: 2 minuti.

Un nuovo avviso congiunto di diverse agenzie governative statunitensi è stato appena rilasciato. Il Dipartimento dell’Energia (DOE), la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) e il Federal Bureau of Investigation (FBI) stanno avvertendo il settore energetico degli Stati Uniti che alcuni attori di minacce APT (advanced persistent threat) hanno mostrato la capacità di ottenere l’accesso completo al sistema di controllo industriale multiplo (ICS) e ai dispositivi SCADA (supervisory control and data acquisition).

Dispositivi e server presi di mira

Diversi strumenti dell’attaccante sono esposti nell’advisory in base all’hardware preso di mira.

Dispositivi Schneider Electric

Diversi PLC MODICON e MODICON Nano di Schneider Electric (controlli logici programmabili), tra cui (ma non solo) TM251, TM241, M258, M238, LMC058 e LMC078, sono colpiti.

Lo strumento dell’attore minaccioso che prende di mira questi dispositivi ha moduli che interagiscono tramite i normali protocolli di gestione e i protocolli Modbus, permettendo agli aggressori di:

  • Scansionare rapidamente una rete locale per tutti i PLC Schneider
  • Forzare le password dei PLC utilizzando CODESYS e altri protocolli di dispositivi disponibili contro le impostazioni predefinite o un elenco di parole del dizionario
  • Condurre un attacco denial of service per impedire ai PLC di essere raggiunti
  • Interrompere le connessioni, richiedendo agli utenti di autenticarsi nuovamente sul PLC, probabilmente per facilitare la cattura di credenziali valide
  • Mandare in crash il PLC fino a quando non viene eseguito un ciclo di alimentazione e il recupero della configurazione
  • Inviare comandi Modbus personalizzati (che possono funzionare anche contro i dispositivi Modbus oltre ai PLC Schneider Electric)


Dispositivi OMRON

I dispositivi interessati sono i PLC OMRON Sysmac NJ e NX, compresi (ma non solo) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK e R88D-1SN10F-ECT.

Lo strumento dell’attore di minacce che prende di mira questi dispositivi ha moduli che permettono agli aggressori di:

  • Effettuare la scansione di OMRON utilizzando il protocollo FINS (factory interface network service)
  • Analizzare la risposta HTTP dai dispositivi OMRON
  • Recuperare l’indirizzo MAC (media access control) dei dispositivi
  • Polling per dispositivi specifici collegati ai PLC
  • Eseguire il backup/ripristino di file arbitrari su/da PLC
  • Caricare un agente maligno personalizzato sui PLC OMRON per ulteriori operazioni di attacco (fare manipolazioni di file, effettuare catture di pacchetti o eseguire codice).
  • Server OPC Unified Architecture
  • Si potrebbe accedere ai server OPC UA utilizzando credenziali predefinite o precedentemente compromesse. Il client attaccante può leggere la struttura OPC UA dal server e potenzialmente scrivere i valori dei tag disponibili tramite OPC UA.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version