Власти США потребовали от операторов критической инфраструктуры создать защиту от пророссийских хактивистов

Власти США потребовали от операторов критической инфраструктуры создать защиту от пророссийских хактивистов

изображение: recraft

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) совместно с ФБР, Пентагоном, Министерством энергетики, Агентством по охране окружающей среды, а также с профильными структурами ЕС опубликовало расширенный бюллетень с анализом угроз, исходящих от хактивистских группировок, действующих в интересах России. В документе, размещённом на официальном сайте ведомства, выражается обеспокоенность активностью как минимум четырёх сообществ — Народная CyberАрмия, NoName057(16), Z-Pentest (она же Z-Alliance) и Sector16.

Авторы материала говорят, что по сравнению с профессиональными кибершпионскими группами (APT) указанные формирования проводят менее сложные, но потенциально разрушительные атаки. Их целью остаются объекты критической инфраструктуры — в частности, промышленное оборудование и управляющие модули, подключённые к интернету с минимальной или устаревшей защитой.

Как указано в документе, атакующие используют доступные инструменты, сканируют интернет на предмет открытых VNC-сервисов и уязвимых устройств, а затем применяют программы для брутфорса, чтобы подобрать слабые или дефолтные пароли.

В большинстве случаев внимание сосредоточено на портах 5900–5910, характерных для удалённого доступа. Получив соединение, хакеры выходят на HMI-интерфейсы — человеко-машинные панели управления, где могут менять параметры работы систем. Все действия записываются, а затем публикуются в открытых каналах как доказательство атаки.

В бюллетене подчеркивается, что подобные методы не требуют значительных ресурсов и доступны широкому кругу исполнителей. Среди используемых инструментов названы Nmap и OPENVAS, а среди типовых приёмов — установка соединения с устройствами без пароля или с паролем по умолчанию. Подобные действия позволяют не только временно вывести оборудование из строя, но и скомпрометировать операционные процессы.

По сведениям американских властей, последствия таких атак чаще всего выражаются в утрате визуального контроля над системами, что требует ручного вмешательства для восстановления работы. При этом возможны и более серьёзные последствия. Например, может потребоваться привлечение специалистов по промышленной автоматике и программируемым логическим контроллерам. Это, в свою очередь, приводит к финансовым издержкам из-за простоев оборудования и восстановления сетей.

CISA призывает операторов инфраструктурных объектов пересмотреть политику защиты, сократить число устройств с удалённым доступом и обновить методы аутентификации. Особое внимание предлагается уделить разработчикам промышленного оборудования, на которых ложится ответственность за обеспечение базовой безопасности поставляемых решений.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: