Alto el fuego, pero continúa la ciberguerra de Irán
Actores de amenazas persistentes avanzadas (APT) vinculados a Irán están llevando a cabo actividades de explotación dirigidas a dispositivos de tecnología operativa (OT) conectados a internet, incluidos los controladores lógicos programables (PLC) fabricados por Rockwell Automation/Allen-Bradley, según un aviso conjunto de ciberseguridad publicado por CISA, el Comando Cibernético de EE. UU., el Departamento de Energía, la EPA, el FBI y la NSA.
Esta actividad ha provocado interrupciones en los PLC en varios sectores de infraestructura crítica de EE. UU. mediante interacciones maliciosas con el archivo del proyecto y la manipulación de datos en las interfaces hombre-máquina (HMI) y las pantallas de control y adquisición de datos de supervisión (SCADA), lo que ha resultado en interrupciones operativas y pérdidas financieras, aagrega.
"Las organizaciones estadounidenses deben revisar urgentemente las tácticas, técnicas y procedimientos (TTP) y los indicadores de compromiso (IOC) que figuran en este aviso para detectar indicios de actividad actual o histórica en sus redes, y aplicar las recomendaciones que figuran en la sección de Mitigaciones del aviso para reducir el riesgo de compromiso", subraya.
Recomendaciones
--Proteja los PLC de la exposición directa a Internet mediante una puerta de enlace segura y un cortafuegos.
--Consultar los registros disponibles para los IOC proporcionados en los periodos de tiempo correspondientes.
--Revise los registros disponibles en busca de tráfico sospechoso en los puertos asociados con los dispositivos OT, especialmente el tráfico originado por proveedores de alojamiento en el extranjero.