Hacktivisti filo-russi in cerca di sistemi OT. Le password di default nel mirino

Redazione RHC : 5 Maggio 2024 07:53

Sullo sfondo del terzo anniversario dell’attacco alla Colonial Pipeline del 7 maggio, un gruppo di forze dell’ordine e di sicurezza informatica di Stati Uniti, Canada e Regno Unito ha pubblicato un foglio informativo. Si avverte che gli hacktivisti filo-russi stanno prendendo di mira e compromettendo attività operative su piccola scala.

Si parla di Sistemi tecnologici (OT) nei settori nordamericani ed europei, compresi i sistemi idrici e delle acque reflue (WWS), dighe, cibo e agricoltura. Secondo il documento, questa attività dannosa è stata osservata dal 2022 e fino all’aprile 2024.

È l’ultimo avvertimento che i malintenzionati e gli stati nazionali hanno nuove strade attraverso le quali possono provocare il caos e manomettere o chiudere le infrastrutture critiche sfruttando le vulnerabilità nei sistemi IT e OT sempre più convergenti. 

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Diverse agenzie governative hanno avvertito negli ultimi anni che gli hacktivisti filo-russi stanno ottenendo l’accesso remoto ai sistemi OT sfruttando le connessioni Internet esposte pubblicamente e sfruttando software obsoleti di accesso remoto Virtual Network Computing (VNC). Questi hacktivisti sfruttano anche le password di default dell’interfaccia uomo-macchina (HMI) degli utenti, nonché le password deboli senza autenticazione a più fattori.

Sono stati osservati hacktivisti filo-russi mentre utilizzavano una varietà di tecniche per ottenere l’accesso remoto agli HMI e apportare modifiche all’OT sottostante. Queste tecniche includono:

• Utilizzo del protocollo VNC per accedere agli HMI e apportare modifiche all’OT sottostante. VNC viene utilizzato per l’accesso remoto alle interfacce utente grafiche, inclusi gli HMI che controllano i sistemi OT;
• Sfruttare il protocollo VNC Remote Frame Buffer per accedere agli HMI per controllare i sistemi OT;
• Sfruttare VNC sulla porta 5900 per accedere agli HMI utilizzando credenziali predefinite e password deboli su account non protetti dall’autenticazione a più fattori.

Le vittime hanno riferito di disturbi limitati alle pompe dell’acqua e alle apparecchiature di ventilazione che superavano i normali parametri operativi.

In ogni caso, gli hacktivisti hanno raggiunto il massimo dei valori prefissati. Midificano altre impostazioni, disattivato i meccanismi di allarme e modificato le password amministrative per bloccare gli operatori WWS. Alcune vittime hanno subito piccoli eventi di traboccamento del serbatoio. La maggior parte delle vittime è tornata ai controlli manuali subito dopo e ha ripristinato rapidamente le operazioni.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli