I en ny rådgivning har CISA varnat amerikanska operatörer av vatten- och avloppsvattensystem om en rad cyberhot som syftar till att störa deras verksamhet. Cybersäkerhetsföretaget Dragos samarbetade med CISA, FBI, NSA och EPA för att beskriva cyberhot som riktar sig mot informations- och driftstekniken som ligger till grund för nätverk, system och enheter i amerikanska vatten- och avloppsanläggningar.
Varningen beskriver också en rad attacker som har inträffat i år, varav några aldrig rapporterats tidigare.
CISA noterade att rådgivningen inte var en indikation på potentialen för ökade attacker som riktar sig mot just den här sektorn utan bara var ett försök att hjälpa vattenanläggningsoperatörer att skydda sina system.
Meddelandet listar spearphishing som en av de vanligaste metoderna som används av cyberkriminella och nationalstater för att få tillgång till vattensystem och förklarar att det ofta används för att leverera skadlig nyttolast, inklusive ransomware. CISA tillade att eftersom IT- och OT -system ofta är integrerade tillsammans ger åtkomst till det ena angripare tillgång till det andra.
CISA nämnde också utnyttjande av internetanslutna tjänster som RDP som ett annat verktyg som används för att attackera vattensystem. Med COVID-19 använder många vattensystemoperatörer RDP och andra verktyg för att komma åt systemen på distans, vilket gör dem sårbara för föråldrade operativsystem eller programvara.
“WWS -anläggningar tenderar att avsätta resurser till fysisk infrastruktur som behöver bytas ut eller repareras (t.ex. rör) snarare än IT/OT -infrastruktur. Det faktum att WWS -anläggningar är inkonsekvent resurserade kommunala system – som inte alla har resurser att använda konsekvent höga cybersäkerhetsstandarder – kan bidra till användningen av operativsystem och programvara som inte stöds eller är föråldrade, “förklarade CISA.
“WWS -system använder vanligtvis föråldrade styrsystemenheter eller firmwareversioner, som utsätter WWS -nätverk för offentligt tillgängliga och fjärrkörbara sårbarheter. Framgångsrik kompromiss med dessa enheter kan leda till förlust av systemkontroll, avslag på tjänster eller förlust av känslig data.” < /p>
Meddelandet listar flera senaste attacker sedan 2019, inklusive en i augusti 2021 som innebar att Ghost -ransomware distribuerades mot en anläggning i Kalifornien. Angripare tillbringade en månad inne i systemet innan de lade upp ett ransomware -meddelande på tre övervakningskontroll- och datainsamlingsservrar.
Vid en attack i juli såg ZuCaNo ransomware som används för att skada en avloppsvattenanläggning i Maine och i mars drabbades en vattenreningsanläggning i Nevada med en okänd ransomware -variant.
I september 2020 träffade Makop -ransomware en anläggning i New Jersey och ytterligare en attack i mars 2019 involverade ett försök att hota dricksvattnet i en stad i Kansas.
CISA listar ett antal saker som operatörer bör se upp för, inklusive oförmågan att komma åt vissa SCADA -systemkontroller, okända datafönster eller systemvarningar, onormala driftsparametrar och mer.
De uppmanade vattenanläggningar att sätta ökade säkerhetskontroller kring RDP och genomföra “robust” nätverkssegmentering mellan IT- och OT -nät.
Alla anläggningar bör ha en beredskapsplan och överväga en mängd olika effekter som en cyberattack kan ha på hur systemen fungerar. CISA noterade att det också borde finnas system som fysiskt hindrar vissa farliga förhållanden från att inträffa även om ett system övertas.
Neil Jones, cybersäkerhets -evangelist för Egnyte, sa till ZDNet att de senaste attackerna mot vattenreningsverk i Bay Area, Florida och Pennsylvania borde vara ett väckarklocka om att landets kritiska infrastruktur för mat, nytta och energi är under direkt hot från cyberattacker .
Jones sa att de senaste rapporterna tyder på att 1 av 10 avfalls- eller avloppsanläggningar har en kritisk säkerhetsproblem.
Björn Townsend, en vattenhanteringsincident för cybersäkerhetsföretaget Critical Insight, säger att varningar som detta “indikerar att de har specifik intelligens om att hotaktörer försöker manipulera med våra vattensystem kontinuerligt, och de försöker varna vattensystemet operatörer till det faktum. ”
“Kommunal IT -personal bör vidarebefordra vägledningen i avsnittet” WWS -övervakning “till anläggningsingenjörerna som arbetar med verktygets SCADA -system även om de inte är specifikt utbildade i IT, och ge vägledning om hur man varnar IT och/eller cybersäkerhet personal för att svara på det potentiella hotet, säger Townsend.
“Varningen listar begränsningar av de problem som jag har sett på egen hand när jag utför cyber- och fysiska riskbedömningar av kommunala vattensystem här i Washington State under America's Water Infrastructure Act från 2018. De flesta vattensystem I har personligen inspekterat har inte majoriteten av de begränsningar som anges, särskilt när det gäller fjärråtkomstkontroller, systemuppgraderingar, åtkomstgranskningar eller övervakning och loggning av aktivitet. “
Vattensystem, tillade han, måste ofta hantera brist på resurser, både när det gäller hantering, övervakningsteknik och till och med brist på investeringar i regelbundna program- och hårdvaruuppgraderingar för industriella kontrollnätverk i dessa system.
Den andra frågan är bristande samarbete mellan vattensystemoperatörer och kommunal IT -personal, förklarade Townsend.
“I ett kommunalt vattensystem ser jag ofta en situation där IT -administratörer – som nominellt är ansvariga för datorerna inom dricksvattensystemet – har strid med vattensystemoperatörer, eftersom vattensystemoperatörer är utbildade i att göra minimala ändringar av ett system över tiden, säger han.
“Denna” minimala förändring “-metod strider helt och hållet mot den rekommenderade 30-dagars korrigeringscykeln för Microsoft Windows, än mindre uppgradering av programvaran på själva PLC: erna. Som ett resultat visar denna varning att vi måste både dramatiskt förbättra resurserna för IT och cybersäkerhet i vattensektorn och bryta kaminröret mellan kommunal IT -personal och operatörerna för deras kommunala vattensystem genom att uppmuntra vattensystemoperatörer att följa IT -programvara och hårdvaruuppdateringspolicyer. ”
Mer än någonting sa Townsend att bristen på finansiering ofta är det största problemet som operatörerna står inför eftersom många organisationer helt enkelt är bundna av antalet människor de har tillgängliga för att utföra dessa annars mycket rutinmässiga uppgifter. Personalen som de har är vanligtvis nära det minsta antal som krävs för att svara på helpdesk och supportförfrågningar, konstaterade Townsend.
Säkerhet
När din VPN är en fråga om liv eller död, lita inte på recensioner Ransomware-gäng klagar på att andra skurkar stjäl sina lösenband Bandbredd-VD bekräftar avbrott orsakade av DDoS-attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb i cybersäkerhet Cybersäkerhet 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Regeringen – USA: s säkerhets -TV -datahantering CXO -datacenter 