In een nieuw advies heeft CISA Amerikaanse water- en afvalwatersysteembeheerders gewaarschuwd voor een reeks cyberbedreigingen die gericht zijn op het verstoren van hun activiteiten. Cyberbeveiligingsbedrijf Dragos werkte samen met CISA, de FBI, de NSA en de EPA om cyberdreigingen te schetsen die gericht waren op de informatie en operationele technologie die ten grondslag ligt aan de netwerken, systemen en apparaten van Amerikaanse water- en afvalwaterfaciliteiten.
De waarschuwing schetst ook een reeks aanvallen die dit jaar hebben plaatsgevonden, waarvan sommige nooit eerder zijn gemeld.
CISA merkte op dat het advies geen indicatie was van het potentieel voor meer aanvallen op deze specifieke sector, maar gewoon een poging was om exploitanten van watervoorzieningen te helpen hun systemen te beschermen.
Het bericht vermeldt spearphishing als een van de meest voorkomende methoden die door cybercriminelen en natiestaten worden gebruikt om toegang te krijgen tot watersystemen, en legt uit dat het vaak wordt ingezet om kwaadaardige payloads te leveren, waaronder ransomware. CISA voegde eraan toe dat, omdat IT- en OT-systemen vaak samen zijn geïntegreerd, toegang tot de ene aanvallers toegang geeft tot de andere.
CISA noemde ook de exploitatie van met internet verbonden diensten zoals RDP's als een ander instrument dat wordt gebruikt om watersystemen aan te vallen. Met COVID-19 gebruiken veel watersysteembeheerders RDP's en andere tools om op afstand toegang te krijgen tot de systemen, waardoor ze kwetsbaar zijn voor verouderde besturingssystemen of software.
“WWS-faciliteiten hebben de neiging om middelen toe te wijzen aan fysieke infrastructuur die moet worden vervangen of gerepareerd (bijv. leidingen) in plaats van IT/OT-infrastructuur. Het feit dat WWS-faciliteiten inconsequente gemeentelijke systemen zijn – die niet allemaal de middelen hebben om consequent in te zetten hoge cyberbeveiligingsnormen — kunnen bijdragen aan het gebruik van niet-ondersteunde of verouderde besturingssystemen en software”, legt CISA uit.
“WWS-systemen maken vaak gebruik van verouderde besturingssystemen of firmwareversies, die WWS-netwerken blootstellen aan openbaar toegankelijke en op afstand uitvoerbare kwetsbaarheden. Succesvol compromitteren van deze apparaten kan leiden tot verlies van systeemcontrole, denial of service of verlies van gevoelige gegevens.”< /p>
De kennisgeving vermeldt verschillende recente aanvallen sinds 2019, waaronder een in augustus 2021 waarbij de Ghost-ransomware werd ingezet tegen een faciliteit in Californië. Aanvallers brachten een maand door in het systeem voordat ze een ransomware-bericht op drie toezichthoudende controle- en data-acquisitieservers plaatsten.
Bij een aanval in juli werd de ZuCaNo-ransomware gebruikt om een afvalwaterinstallatie in Maine te beschadigen en in maart werd een waterzuiveringsinstallatie in Nevada getroffen door een onbekende ransomware-variant.
In september 2020 trof de Makop-ransomware een faciliteit in New Jersey en een andere aanval in maart 2019 betrof een poging om het drinkwater van een stad in Kansas te bedreigen.
CISA somt een aantal zaken op waar operators op moeten letten, waaronder het onvermogen om toegang te krijgen tot bepaalde SCADA-systeemcontroles, onbekende gegevensvensters of systeemwaarschuwingen, abnormale bedrijfsparameters en meer.
Ze drongen er bij waterfaciliteiten op aan om verhoogde beveiligingscontroles rond RDP's te plaatsen en “robuuste” netwerksegmentatie tussen IT- en OT-netwerken te implementeren.
Alle faciliteiten moeten een noodplan hebben en rekening houden met een breed scala aan effecten die een cyberaanval kan hebben op het functioneren van systemen. CISA merkte op dat er ook systemen moeten zijn die bepaalde gevaarlijke omstandigheden fysiek stoppen, zelfs als een systeem wordt overgenomen.
Neil Jones, cybersecurity-evangelist voor Egnyte, vertelde ZDNet dat de recente aanvallen op waterzuiveringsinstallaties in de Bay Area, Florida en Pennsylvania, een wake-up call zouden moeten zijn dat de kritieke voedsel-, nuts- en energie-infrastructuur van het land direct wordt bedreigd door cyberaanvallen .
Jones zei dat uit recente rapporten blijkt dat 1 op de 10 afval- of afvalwaterinstallaties een kritieke beveiligingskwetsbaarheid heeft.
Bjorn Townsend, een waterinfrastructuurincidentresponder voor cyberbeveiligingsbedrijf Critical Insight, zei dat waarschuwingen als deze “aangeven dat ze specifieke informatie hebben dat bedreigingsactoren voortdurend proberen te knoeien met onze watersystemen, en ze proberen het watersysteem te waarschuwen exploitanten op dat feit.”
“Gemeentelijk IT-personeel moet de richtlijnen in het gedeelte 'WWS-bewaking' doorgeven aan de fabrieksingenieurs die met de SCADA-systemen van het hulpprogramma werken, zelfs als ze niet specifiek zijn opgeleid in IT, en advies geven over hoe IT en/of cyberbeveiliging te waarschuwen personeel om te reageren op de potentiële dreiging”, zei Townsend.
“De waarschuwing somt oplossingen op voor de problemen die ik uit de eerste hand heb gezien tijdens het uitvoeren van cyber- en fysieke risicobeoordelingen van gemeentelijke watersystemen hier in de staat Washington onder de America's Water Infrastructure Act van 2018. De meeste watersystemen heb ik persoonlijk hebben geïnspecteerd, beschikken niet over de meeste van de genoemde maatregelen, met name op het gebied van toegangscontrole op afstand, systeemupgrades, toegangsbeoordelingen of monitoring en logboekregistratie van activiteiten.”
Watersystemen, voegde hij eraan toe, hebben vaak te maken met een gebrek aan middelen, zowel op het gebied van beheer, monitoringtechnologieën als zelfs een gebrek aan investeringen in regelmatige software- en hardware-upgrades voor de industriële besturingsnetwerken in die systemen.
Het andere probleem is een gebrek aan samenwerking tussen watersysteembeheerders en gemeentelijk IT-personeel, legt Townsend uit.
“In een gemeentelijk watersysteem zie ik vaak een situatie waarin IT-beheerders – die nominaal verantwoordelijk zijn voor de computers binnen het drinkwatersysteem – op gespannen voet staan met watersysteembeheerders, omdat watersysteembeheerders zijn opgeleid om minimale wijzigingen aan te brengen in een systeem in de loop van de tijd”, zei hij.
“Die 'minimal change'-benadering staat volledig haaks op de aanbevolen patchcyclus van 30 dagen voor Microsoft Windows, laat staan het upgraden van de software op de PLC's zelf. Als gevolg hiervan laat deze waarschuwing zien dat we allebei de middelen voor IT drastisch moeten verbeteren. en cyberbeveiliging in de watersector en doorbreek de smoorpijp tussen gemeentelijk IT-personeel en de beheerders van hun gemeentelijk watersysteem door watersysteembeheerders aan te moedigen om het IT-software- en hardware-updatebeleid te volgen.”
Townsend zei vooral dat het gebrek aan financiering vaak het grootste probleem is waarmee operators worden geconfronteerd, omdat veel organisaties simpelweg gebonden zijn aan het aantal mensen dat ze beschikbaar hebben om deze anders zeer routinematige taken uit te voeren. Het personeel dat ze hebben, zit meestal in de buurt van het minimumaantal dat nodig is om te reageren op helpdesk- en ondersteuningsverzoeken, merkte Townsend op.
Beveiliging
Wanneer uw VPN een kwestie van leven of dood, vertrouw niet op beoordelingen Ransomware-bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen als hackers wachtwoorden proberen te raden Hoe krijg je een goedbetaalde baan in cybersecurity Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Overheid – US Security TV Data Management CXO Datacenters 