⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Atores cibernéticos afiliados ao Irã têm como alvo dispositivos de tecnologia operacional (OT) voltados para a Internet em infraestruturas críticas nos EUA, incluindo controladores lógicos programáveis (PLCs), agências de segurança cibernética e de inteligência avisadas na terça-feira.
"Esses ataques levaram à diminuição da funcionalidade do PLC, à manipulação de dados de exibição e, em alguns casos, à interrupção operacional e à perda financeira", disse o Federal Bureau of Investigation (FBI) dos EUA em uma postagem no X.
As agências disseram que a campanha faz parte de uma recente escalada de ataques cibernéticos orquestrados por grupos de hackers iranianos contra organizações dos EUA em resposta ao conflito em curso entre o Irã, os EUA e Israel.
Especificamente, a atividade levou a interrupções de PLC em vários setores de infraestrutura crítica dos EUA por meio do que as agências de autoria descreveram como interações maliciosas com o arquivo do projeto e manipulação de dados na interface homem-máquina (HMI) e em monitores de controle de supervisão e aquisição de dados (SCADA).
Esses ataques destacaram os PLCs da Rockwell Automation e da Allen-Bradley implantados em serviços e instalações governamentais, sistemas de água e águas residuais (WWS) e setores de energia.
“Os atores usaram infraestrutura alugada e hospedada por terceiros com software de configuração, como o software Studio 5000 Logix Designer da Rockwell Automation, para criar uma conexão aceita com o PLC da vítima”, disse o comunicado. "Os dispositivos direcionados incluem dispositivos PLC CompactLogix e Micro850."
Ao obter o acesso inicial, os atores da ameaça estabeleceram comando e controle implantando o Dropbear, um software Secure Shell (SSH), nos endpoints das vítimas para permitir o acesso remoto pela porta 22 e facilitar a extração do arquivo de projeto do dispositivo e a manipulação de dados em monitores HMI e SCADA.
Para combater a ameaça, as organizações são aconselhadas a evitar a exposição do PLC à Internet, tomar medidas para evitar modificações remotas por meio de um switch físico ou de software, implementar a autenticação multifator (MFA) e criar um firewall ou proxy de rede na frente do PLC para controlar o acesso à rede, manter os dispositivos do PLC atualizados, desativar quaisquer recursos de autenticação não utilizados e monitorar tráfego incomum.
Esta não é a primeira vez que os agentes de ameaças iranianos têm como alvo redes OT e PLCs. No final de 2023, a Cyber Av3ngers (também conhecida como Hydro Kitten, Shahid Kaveh Group e UNC5691) foi vinculada à exploração ativa de PLCs da Unitronics para atingir a Autoridade Municipal de Água de Aliquippa, no oeste da Pensilvânia. Esses ataques comprometeram pelo menos 75 dispositivos.
"Este comunicado confirma o que observamos há meses: a escalada cibernética do Irã segue um manual conhecido. Os atores de ameaças iranianos estão agora se movendo de forma mais rápida e ampla e visando a infraestrutura de TI e OT", disse Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research, em um comunicado compartilhado com o The Hacker News.
"Documentamos padrões de segmentação idênticos contra PLCs israelenses em março. Não é a primeira vez que atores iranianos visam tecnologia operacional nos EUA para fins de interrupção, portanto, as organizações não devem tratar isso como uma nova ameaça, mas como uma ameaça em aceleração."
O desenvolvimento ocorre em meio a um novo aumento de ataques distribuídos de negação de serviço (DDoS) e alegações de operações de hack-and-leak realizadas por grupos de proxy cibernético e hacktivistas visando entidades ocidentais e israelenses, de acordo com a Flashpoint.
Em um relatório publicado esta semana, a DomainTools Investigations (DTI) descreveu a atividade atribuída a Homeland Justice, Karma/KarmaBelow80 e Handala Hack como um "ecossistema de influência cibernética único e coordenado" alinhado com o Ministério de Inteligência e Segurança do Irã (MOIS), em vez de um conjunto de grupos hacktivistas distintos.
"Essas personas funcionam como vernizes operacionais intercambiáveis aplicados a uma capacidade subjacente consistente", disse o DTI. "Seu objetivo não é refletir a separação organizacional, mas permitir a segmentação de mensagens, direcionamento e atribuição, preservando ao mesmo tempo a continuidade da infraestrutura e do comércio."
Os domínios públicos e os canais do Telegram servem como o principal centro de disseminação e amplificação, com a plataforma de mensagens também desempenhando um papel importante nas operações de comando e controle (C2), permitindo que o malware se comunique com bots controlados pelos atores da ameaça, reduza a sobrecarga da infraestrutura e se misture com as operações normais.
"Este ecossistema representa um instrumento de influência cibernética dirigido pelo Estado, no qual as operações técnicas são estreitamente integradas com a manipulação narrativa e a dinâmica de amplificação da mídia para alcançar efeitos coercitivos e estratégicos", acrescentou o DTI.
MuddyWater como afiliado do CastleRAT
O desenvolvimento ocorre no momento em que o JUMPSEC detalha os laços da MuddyWater com o ecossistema criminoso, afirmando que o ator de ameaça patrocinado pelo Estado iraniano opera
"Esses ataques levaram à diminuição da funcionalidade do PLC, à manipulação de dados de exibição e, em alguns casos, à interrupção operacional e à perda financeira", disse o Federal Bureau of Investigation (FBI) dos EUA em uma postagem no X.
As agências disseram que a campanha faz parte de uma recente escalada de ataques cibernéticos orquestrados por grupos de hackers iranianos contra organizações dos EUA em resposta ao conflito em curso entre o Irã, os EUA e Israel.
Especificamente, a atividade levou a interrupções de PLC em vários setores de infraestrutura crítica dos EUA por meio do que as agências de autoria descreveram como interações maliciosas com o arquivo do projeto e manipulação de dados na interface homem-máquina (HMI) e em monitores de controle de supervisão e aquisição de dados (SCADA).
Esses ataques destacaram os PLCs da Rockwell Automation e da Allen-Bradley implantados em serviços e instalações governamentais, sistemas de água e águas residuais (WWS) e setores de energia.
“Os atores usaram infraestrutura alugada e hospedada por terceiros com software de configuração, como o software Studio 5000 Logix Designer da Rockwell Automation, para criar uma conexão aceita com o PLC da vítima”, disse o comunicado. "Os dispositivos direcionados incluem dispositivos PLC CompactLogix e Micro850."
Ao obter o acesso inicial, os atores da ameaça estabeleceram comando e controle implantando o Dropbear, um software Secure Shell (SSH), nos endpoints das vítimas para permitir o acesso remoto pela porta 22 e facilitar a extração do arquivo de projeto do dispositivo e a manipulação de dados em monitores HMI e SCADA.
Para combater a ameaça, as organizações são aconselhadas a evitar a exposição do PLC à Internet, tomar medidas para evitar modificações remotas por meio de um switch físico ou de software, implementar a autenticação multifator (MFA) e criar um firewall ou proxy de rede na frente do PLC para controlar o acesso à rede, manter os dispositivos do PLC atualizados, desativar quaisquer recursos de autenticação não utilizados e monitorar tráfego incomum.
Esta não é a primeira vez que os agentes de ameaças iranianos têm como alvo redes OT e PLCs. No final de 2023, a Cyber Av3ngers (também conhecida como Hydro Kitten, Shahid Kaveh Group e UNC5691) foi vinculada à exploração ativa de PLCs da Unitronics para atingir a Autoridade Municipal de Água de Aliquippa, no oeste da Pensilvânia. Esses ataques comprometeram pelo menos 75 dispositivos.
"Este comunicado confirma o que observamos há meses: a escalada cibernética do Irã segue um manual conhecido. Os atores de ameaças iranianos estão agora se movendo de forma mais rápida e ampla e visando a infraestrutura de TI e OT", disse Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research, em um comunicado compartilhado com o The Hacker News.
"Documentamos padrões de segmentação idênticos contra PLCs israelenses em março. Não é a primeira vez que atores iranianos visam tecnologia operacional nos EUA para fins de interrupção, portanto, as organizações não devem tratar isso como uma nova ameaça, mas como uma ameaça em aceleração."
O desenvolvimento ocorre em meio a um novo aumento de ataques distribuídos de negação de serviço (DDoS) e alegações de operações de hack-and-leak realizadas por grupos de proxy cibernético e hacktivistas visando entidades ocidentais e israelenses, de acordo com a Flashpoint.
Em um relatório publicado esta semana, a DomainTools Investigations (DTI) descreveu a atividade atribuída a Homeland Justice, Karma/KarmaBelow80 e Handala Hack como um "ecossistema de influência cibernética único e coordenado" alinhado com o Ministério de Inteligência e Segurança do Irã (MOIS), em vez de um conjunto de grupos hacktivistas distintos.
"Essas personas funcionam como vernizes operacionais intercambiáveis aplicados a uma capacidade subjacente consistente", disse o DTI. "Seu objetivo não é refletir a separação organizacional, mas permitir a segmentação de mensagens, direcionamento e atribuição, preservando ao mesmo tempo a continuidade da infraestrutura e do comércio."
Os domínios públicos e os canais do Telegram servem como o principal centro de disseminação e amplificação, com a plataforma de mensagens também desempenhando um papel importante nas operações de comando e controle (C2), permitindo que o malware se comunique com bots controlados pelos atores da ameaça, reduza a sobrecarga da infraestrutura e se misture com as operações normais.
"Este ecossistema representa um instrumento de influência cibernética dirigido pelo Estado, no qual as operações técnicas são estreitamente integradas com a manipulação narrativa e a dinâmica de amplificação da mídia para alcançar efeitos coercitivos e estratégicos", acrescentou o DTI.
MuddyWater como afiliado do CastleRAT
O desenvolvimento ocorre no momento em que o JUMPSEC detalha os laços da MuddyWater com o ecossistema criminoso, afirmando que o ator de ameaça patrocinado pelo Estado iraniano opera
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #ligados #ao #irã #perturbam #a #infraestrutura #crítica #dos #eua #ao #atacar #plcs #expostos #à #internet
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário