Oggi, l’Agenzia di Sicurezza Nazionale degli Stati Uniti (NSA), il Federal Bureau of Investigation (FBI) e la Cybersecurity and Infrastructure Security Agency (CISA), insieme alla Japan National Police Agency (NPA) e al Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) hanno rilasciato un avviso congiunto di cybersecurity. L’avviso dettaglia l’attività di attori cyber, noti come BlackTech, legati alla Repubblica Popolare Cinese (RPC). Fornisce tattiche, tecniche e procedure (TTP) di BlackTech e invita le multinazionali a rivedere tutte le connessioni delle filiali, verificare l’accesso e considerare l’implementazione di modelli di “zero trust” per limitare l’entità di un potenziale compromesso da parte di BlackTech.
Capacità dimostrate
BlackTech ha dimostrato capacità nel modificare il firmware dei router senza rilevamenti ed ha sfruttato le relazioni di fiducia del dominio dei router per passare dalle filiali internazionali alle sedi centrali in Giappone e negli Stati Uniti, che sono i principali obiettivi.
Raccomandazioni CISA
La CISA raccomanda vivamente alle organizzazioni di rivedere l’avviso e implementare le tecniche di rilevamento e mitigazione descritte per proteggere dispositivi e reti. Per ulteriori indicazioni, si veda “People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices” e si visiti la pagina “China Cyber Threat Overview and Advisories” della CISA.
La CISA, FBI ed EPA avvertono le entità nel settore idrico e di depurazione di un aumento delle minacce informatiche dirette ai loro sistemi. Questo avviso fornisce informazioni dettagliate sulle tattiche utilizzate dagli attori delle minacce e offre raccomandazioni per mitigare tali minacce.
Dettagli sulle minacce
Gli attori delle minacce, sia statali che cybercriminali, stanno prendendo di mira il settore idrico e di depurazione. Utilizzano e-mail di spear-phishing, sfruttano vulnerabilità in asset accessibili via internet e distribuiscono ransomware. L’accesso non autorizzato, il furto di dati e le interruzioni operative sono alcune delle conseguenze di questi attacchi informatici.
Casi di studio
L’avviso evidenzia vari incidenti recenti, inclusi un attacco a un impianto di trattamento delle acque in Florida e attacchi ransomware a utility idriche in Nevada e California. Questi attacchi hanno messo a rischio la sicurezza e la salute pubblica.
Raccomandazioni
Per mitigare queste minacce, le entità sono invitate a eseguire regolarmente il backup dei dati, implementare l’autenticazione multi-fattore, mantenere software e sistemi aggiornati, formare il personale e condurre regolari valutazioni sulla sicurezza informatica.
Informazioni aggiuntive
L’avviso fornisce anche link ad altre risorse e riferimenti per ulteriori informazioni sull’argomento, aiutando le organizzazioni a proteggere i loro sistemi dalle minacce informatiche in corso.