Uma nova pesquisa revelou mais de 145.000 Sistemas de Controle Industrial (ICS) expostos na Internet em 175 países, com os EUA sozinhos respondendo por mais de um terço do total de exposições.

A análise , que vem da empresa de gerenciamento de superfícies de ataque Censys, descobriu que 38% dos dispositivos estão localizados na América do Norte, 35,4% na Europa, 22,9% na Ásia, 1,7% na Oceania, 1,2% na América do Sul e 0,5% na África.

Os países com mais exposições a serviços de ICS incluem os EUA (mais de 48.000), Turquia, Coreia do Sul, Itália, Canadá, Espanha, China, Alemanha, França, Reino Unido, Japão, Suécia, Taiwan, Polônia e Lituânia.

As métricas são derivadas da exposição de vários protocolos ICS comumente usados, como Modbus, IEC 60870-5-104, CODESYS, OPC UA e outros.

Um aspecto importante que se destaca é que as superfícies de ataque são regionalmente únicas: Modbus, S7 e IEC 60870-5-104 são mais amplamente observados na Europa, enquanto Fox, BACnet, ATG e C-more são mais comumente encontrados na América do Norte. Alguns serviços ICS que são usados ​​em ambas as regiões incluem EIP, FINS e WDBRPC.

Além disso, 34% das interfaces homem-máquina (HMIs) do C-more estão relacionadas à água e às águas residuais, enquanto 23% estão associadas a processos agrícolas.

“Muitos desses protocolos remontam à década de 1970, mas continuam sendo fundamentais para processos industriais sem as mesmas melhorias de segurança que o resto do mundo viu”, disse Zakir Durumeric, cofundador e cientista-chefe da Censys, em um comunicado.

“A segurança dos dispositivos ICS é um elemento crítico na proteção da infraestrutura crítica de um país. Para protegê-la, precisamos entender as nuances de como esses dispositivos são expostos e vulneráveis.”

Ataques cibernéticos visando especificamente sistemas ICS têm sido comparativamente raros, com apenas nove cepas de malware descobertas até o momento. Dito isso, houve um aumento no malware centrado em ICS nos últimos anos, especialmente após a guerra russo-ucraniana em andamento.

No início de julho, Dragos revelou que uma empresa de energia localizada na Ucrânia foi alvo de um malware conhecido como FrostyGoop , que utiliza comunicações Modbus TCP para interromper redes de tecnologia operacional (OT) .

Também chamado de BUSTLEBERM, o malware é uma ferramenta de linha de comando do Windows escrita em Golang que pode causar mau funcionamento em dispositivos expostos publicamente e, por fim, resultar em negação de serviço (DoS).

“Embora criminosos tenham usado o malware para atacar dispositivos de controle ENCO, o malware pode atacar qualquer outro tipo de dispositivo que fale Modbus TCP”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Asher Davila e Chris Navarrete , em um relatório publicado no início desta semana.

“Os detalhes necessários para o FrostyGoop estabelecer uma conexão Modbus TCP e enviar comandos Modbus para um dispositivo ICS de destino podem ser fornecidos como argumentos de linha de comando ou incluídos em um arquivo de configuração JSON separado.”

De acordo com dados de telemetria capturados pela empresa, 1.088.175 dispositivos Modbus TCP foram expostos à internet durante um período de um mês entre 2 de setembro e 2 de outubro de 2024.

Os agentes de ameaças também voltaram suas atenções para outras entidades de infraestrutura crítica, como autoridades de água. Em um incidente registrado nos EUA no ano passado, a Municipal Water Authority de Aliquippa, Pensilvânia, foi violada ao tirar vantagem de controladores lógicos programáveis ​​(PLCs) da Unitronics expostos na internet para desfigurar sistemas com uma mensagem anti-Israel.

A Censys descobriu que HMIs, que são usadas para monitorar e interagir com sistemas ICS, também estão sendo cada vez mais disponibilizadas pela Internet para dar suporte ao acesso remoto. A maioria das HMIs expostas está localizada nos EUA, seguida pela Alemanha, Canadá, França, Áustria, Itália, Reino Unido, Austrália, Espanha e Polônia.

Curiosamente, a maioria dos serviços HMIs e ICS identificados residem em provedores de serviços de internet (ISPs) móveis ou empresariais, como Verizon, Deutsche Telekom, Magenta Telekom e Turkcell, entre outros, oferecendo metadados insignificantes sobre quem realmente está usando o sistema.

“HMIs frequentemente contêm logotipos de empresas ou nomes de plantas que podem auxiliar na identificação do proprietário e do setor”, disse Censys. “Os protocolos ICS raramente oferecem essas mesmas informações, tornando quase impossível identificar e notificar os proprietários sobre exposições. A cooperação das principais empresas de telecomunicações que hospedam esses serviços provavelmente é necessária para resolver esse problema.”

O fato de as redes ICS e OT fornecerem uma ampla superfície de ataque para agentes mal-intencionados explorarem exige que as organizações tomem medidas para identificar e proteger dispositivos OT e ICS expostos, atualizar credenciais padrão e monitorar redes em busca de atividades maliciosas.

O risco para esses ambientes é agravado por um aumento no malware de botnet — Aisuru, Kaiten, Gafgyt, Kaden e LOLFME — explorando credenciais padrão de OT não apenas para usá-las na condução de ataques de negação de serviço distribuído (DDoS), mas também para limpar dados presentes nelas.

A divulgação ocorre semanas após a Forescout revelar que estações de trabalho de Imagem Digital e Comunicações em Medicina (DICOM) e Sistemas de Arquivamento e Comunicação de Imagens (PACS), controladores de bombas e sistemas de informações médicas são os dispositivos médicos de maior risco para organizações de prestação de serviços de saúde (HDOs).

O DICOM é um dos serviços mais utilizados por dispositivos de Internet das Coisas Médicas (IoMT) e um dos mais expostos online, observou a empresa de segurança cibernética, com um número significativo de instâncias localizadas nos EUA, Índia, Alemanha, Brasil, Irã e China.

“As organizações de saúde continuarão a enfrentar desafios com dispositivos médicos que usam sistemas legados ou não padronizados”, disse Daniel dos Santos, chefe de pesquisa de segurança da Forescout .

“Um único ponto fraco pode abrir a porta para dados confidenciais de pacientes. É por isso que identificar e classificar ativos, mapear o fluxo de comunicações da rede, segmentar redes e monitorar continuamente são essenciais para proteger redes de assistência médica em crescimento.”