Hacktivisti filo-russi in cerca di sistemi OT. Le password di default nel mirino

Sullo sfondo del terzo anniversario dell’attacco alla Colonial Pipeline del 7 maggio, un gruppo di forze dell’ordine e di sicurezza informatica di Stati Uniti, Canada e Regno Unito ha pubblicato un foglio informativo. Si avverte che gli hacktivisti filo-russi stanno prendendo di mira e compromettendo attività operative su piccola scala.

Si parla di Sistemi tecnologici (OT) nei settori nordamericani ed europei, compresi i sistemi idrici e delle acque reflue (WWS), dighe, cibo e agricoltura. Secondo il documento, questa attività dannosa è stata osservata dal 2022 e fino all’aprile 2024.

È l’ultimo avvertimento che i malintenzionati e gli stati nazionali hanno nuove strade attraverso le quali possono provocare il caos e manomettere o chiudere le infrastrutture critiche sfruttando le vulnerabilità nei sistemi IT e OT sempre più convergenti. 

Diverse agenzie governative hanno avvertito negli ultimi anni che gli hacktivisti filo-russi stanno ottenendo l’accesso remoto ai sistemi OT sfruttando le connessioni Internet esposte pubblicamente e sfruttando software obsoleti di accesso remoto Virtual Network Computing (VNC). Questi hacktivisti sfruttano anche le password di default dell’interfaccia uomo-macchina (HMI) degli utenti, nonché le password deboli senza autenticazione a più fattori.

Sono stati osservati hacktivisti filo-russi mentre utilizzavano una varietà di tecniche per ottenere l’accesso remoto agli HMI e apportare modifiche all’OT sottostante. Queste tecniche includono:

• Utilizzo del protocollo VNC per accedere agli HMI e apportare modifiche all’OT sottostante. VNC viene utilizzato per l’accesso remoto alle interfacce utente grafiche, inclusi gli HMI che controllano i sistemi OT;
• Sfruttare il protocollo VNC Remote Frame Buffer per accedere agli HMI per controllare i sistemi OT;
• Sfruttare VNC sulla porta 5900 per accedere agli HMI utilizzando credenziali predefinite e password deboli su account non protetti dall’autenticazione a più fattori.

Le vittime hanno riferito di disturbi limitati alle pompe dell’acqua e alle apparecchiature di ventilazione che superavano i normali parametri operativi.

In ogni caso, gli hacktivisti hanno raggiunto il massimo dei valori prefissati. Midificano altre impostazioni, disattivato i meccanismi di allarme e modificato le password amministrative per bloccare gli operatori WWS. Alcune vittime hanno subito piccoli eventi di traboccamento del serbatoio. La maggior parte delle vittime è tornata ai controlli manuali subito dopo e ha ripristinato rapidamente le operazioni.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione