Hackers rusos de DragonFly accedieron a salas de control de servicios eléctricos.


El grupo ruso DragonFly APT, que el año pasado irrumpió en redes aisladas por las compañías eléctricas de EE. UU. En una campaña en curso que victimizaba a cientos, accedió a las salas de control de los proveedores donde podrían haber causado apagones y otros daños.
El grupo, que también recurre a Energetic Bear, usó ataques de phishing y de waterhole para obtener acceso a redes de proveedores, obtener credenciales y luego acceder a las utilidades, confirmó el Wall Street Journal citado por el Departamento de Seguridad Nacional (DHS).
"Piratas informáticos, donde se incluyen los piratas informáticos rusos patrocinados por el estado, explotan el eslabón más débil de la cadena de seguridad: el pueblo. Esto se observó en gran detalle en las acusaciones de la Investigación Mueller contra 12 ciudadanos rusos el 13 de julio, donde capturaron a usuarios desprevenidos para robar contraseñas para ganar acceso a los sistemas Clinton Campaign y DNC ", dijo Michael Magrath, director de normas y estándares globales de OneSpan, Inc." ¿Realmente esperamos que los hackers rusos excluyan la infraestructura crítica? "

Su colega, David P. Vergara, jefe de marketing de productos de seguridad OneSpan, estuvo de acuerdo. Esta es una "caza mayor" para los ciberdelincuentes. La motivación puede pivotar entre política y monetización, pero el impacto para el objetivo es el mismo, terror a través de la vulnerabilidad y la exposición ", dijo. "No es difícil extrapolar el resultado cuando una red eléctrica completa se desconecta durante las horas pico y el ataque sigue el enlace más débil, proveedores de servicios públicos poco sofisticados o terceros".
Los piratas informáticos tuvieron "mucho éxito" al penetrar "completamente hasta las salas de control de servicios públicos donde tenían la capacidad de interrumpir los flujos de energía", dijo Pravin Kothari, CEO de CipherCloud.
Las grandes preguntas permanecen abiertas. Todavía no sabemos cuántas de estas utilidades, si las hay, son de energía nuclear, pero las implicaciones son obvias ", dijo." Si tuvieran la capacidad de "lanzar interruptores" por un oficial en DHS, ¿cómo podrían desestabilizar el operación de centrales nucleares y qué riesgos presentaba esto? ¿Cuánto tiempo estuvieron dentro de las redes de cualquier planta de energía nuclear?

Estados Unidos podría estar en medio de una guerra cibernética fría, donde todas las partes podrían estar reprimiendo la destrucción de la que "realmente son capaces", dijo el fundador de Nozomi Networks, Andrea Carcano, quien descubrió que los hackers no obligaron a apagones. Eso "nos hace preguntarnos si los atacantes intencionalmente solo llegaron tan lejos", dijo Carcano.

"Los ataques a la red serán difíciles de controlar e indudablemente provocarán muchos daños colaterales", lo que "combinado con el riesgo de represalias, puede mantener a raya a los atacantes", dijo. "Es una reminiscencia del modelo de destrucción mutuamente asegurado de la Guerra Fría cuando la moderación fue utilizada por todos lados".

En marzo, el DHS y el FBI tomaron la inusual medida de emitir una alerta indicándole al gobierno ruso que atacara la infraestructura crítica de los EE. UU. Con ataques cibernéticos.

"El hecho de que el DHS y el FBI hayan atribuido los intentos de atacar y comprometer la infraestructura crítica de Estados Unidos a Rusia no tiene precedentes y es extraordinario", dijo en ese momento Amit Yoran, CEO de Tenable. "Desde mi época como director fundador de United Equipo de Preparación para Emergencias Informáticas (US-CERT) en el Departamento de Seguridad Nacional, nunca había visto algo así. Es una llamada de atención para la industria y un recordatorio de que todavía no estamos haciendo lo básico y que nuestra defensa necesita evolucionar y adaptarse constantemente ".
La alerta detallaba las acciones del gobierno ruso en la campaña DragonFly 2.0 revelada el verano pasado, en la que hackers se infiltraron en instalaciones de energía en América del Norte y Europa y escalaron sus operaciones, posiblemente señalando un cambio de inteligencia a sabotaje industrial.
El Director de Inteligencia Nacional (DNI), Dan Coats, advirtió recientemente sobre los "continuos y generalizados esfuerzos de Rusia para socavar nuestra democracia" y señaló que "las luces están parpadeando nuevamente de rojo" como lo hicieron antes del 11 de septiembre, advirtiendo que la infraestructura crítica estaba en riesgo .
Las revelaciones del WSJ vienen después de una semana tumultuosa para la administración Trump durante la cual el presidente expresó tanto apoyo a las conclusiones de la comunidad de inteligencia que el presidente ruso Vladimir Putin ordenó la interferencia en las elecciones presidenciales estadounidenses y la confianza de que Rusia ya no era una amenaza cumbre con Putin en Helsinki.

"Cualquier compañía que interactúa con miles de terceros está en una carrera con hackers, lo sepan o no, y eso ciertamente se aplica a los servicios públicos", dijo Fred Kneip, CEO de CyberGRX, y la organización necesita identificar vulnerabilidades en sus ecosistemas antes los atacantes lo hacen.
"Si te golpean solo una vez al encontrar una única debilidad explotable dentro de un único proveedor o contratista, los resultados pueden ser catastróficos", dijo Kneip, y pidió a las empresas que "adopten un enfoque más proactivo para gestionar el riesgo de terceros, incluidos "Identificando a terceros con controles de seguridad débiles antes de ser explotados, y trabajando con ellos para mitigar el riesgo de ataques y violaciones antes de que se conviertan en un objetivo para los atacantes".
Mientras que el informe del Journal dice que el DHS intenta determinar si los hackers rusos han aprendido a vencer la autenticación multifactorial, Magrath dijo que MFA no es "de talla única", existen numerosos enfoques y tecnologías disponibles, "como biometría y autenticación adaptativa". con diversos grados de seguridad y usabilidad ".
Steve Kahan, CMO de Thycotic, dijo que es hora de que Estados Unidos salga de la arena y "defienda contra los ataques rusos". La campaña DragonFly "ejerce presión sobre la comunidad de ciberseguridad y el gobierno de los EE. UU. Para actuar sobre este tema y defender contra los ataques en suelo estadounidense ", dijo Kahan.

Asegurar la infraestructura de la nación requiere colaboración entre los sectores público y privado. "A diferencia de otros países, en los EE. UU. El sector privado posee y opera la gran mayoría de la infraestructura crítica del país", dijo Magrath. "El Marco del NIST para Mejorar la Infraestructura Cibernética de Infraestructura (CSF) es voluntario y consiste en estándares, directrices y mejores prácticas para gestionar el riesgo relacionado con la ciberseguridad ".
La versión 1.1 del marco incluye una "recomendación para un enfoque basado en el riesgo para la autenticación y autenticación de la identidad", dijo. "Con las vidas en riesgo junto con los repetidos ataques exitosos, es negligente que una instalación dependa de contraseñas fácilmente comprometidas para obtener acceso".
Las luces de advertencia de hecho parpadean en rojo, "y un ataque contra la red ya no es 'si', sino 'cuando'", dijo David Ginsburg, vicepresidente de marketing de Cavirin. "Tenemos que tomar esto en serio, y asegúrese de que cada proveedor que toque nuestra infraestructura crítica (energía, agua, transporte, etc.) esté asegurando su postura cibernética mediante la adopción de las mejores prácticas, como las delineadas en el NIST CSF ".
Pero para que la regulación NIST sea efectiva, debe "obligar a los operadores de servicios esenciales a ofrecer niveles más altos de ciberseguridad y exigir que estos servicios esenciales permanezcan disponibles durante un ataque", dijo Kahan.

Y, desafortunadamente, Ginsburg dijo, "no hay una supervisión efectiva", algo que "debe cambiar".
"En el futuro, los equipos de seguridad necesitan un conocimiento completo de los activos conectados e interconectados, las configuraciones y la integridad de las comunicaciones para proteger con éxito la infraestructura crítica", dijo Chris Morales, jefe de análisis de seguridad de Vectra, quien agregó que la infraestructura industrial crítica ser impermeable a los ataques cibernéticos "porque sus computadoras no se vinculaban con Internet y se mantenían separadas de las redes corporativas, ninguna de las cuales necesariamente se cumple hoy en día.
"Muchos ICS ahora están interconectados con TI empresarial o redes externas y se están convirtiendo en objetivos cada vez más atractivos para los atacantes", dijo Steve Durbin, director gerente del Foro de Seguridad de la Información (ISF).
"En el mundo moderno e interconectado de hoy, el impacto potencial de la seguridad inadecuada de ICS puede ser catastrófico, con vidas en juego, costos elevados y reputación corporativa en juego", dijo Durbin. "Como resultado, los gerentes y juntas directivas de negocios se encuentran con un crecimiento presión para mejorar y mantener la seguridad de los entornos ICS de su organización ".
Magrath dijo que "dado el potencial daño catastrófico que podría ser llevado a cabo por un pirata informático en una planta de energía o suministro de agua, las instalaciones de infraestructura críticas deberían parchear todo el software, cifrar todos los datos e implementar las últimas tecnologías de administración y autenticación de identidades".
Durbin pidió a las organizaciones que "implementen de inmediato un enfoque personalizado, colaborativo y basado en el riesgo", que incluya "un método práctico y estructurado para permitir acciones que ofrezcan ventajas sobre adversarios y competidores por igual".