Una nueva investigación ha descubierto más de 145.000 sistemas de control industrial (ICS) expuestos a Internet en 175 países, y solo EE. UU. representa más de un tercio de las exposiciones totales.
El análisis, que proviene de la empresa de gestión de superficies de ataque Censys, encontró que el 38% de los dispositivos están ubicados en América del Norte, el 35,4% en Europa, el 22,9% en Asia, el 1,7% en Oceanía, el 1,2% en América del Sur y el 0,5% en África.
Los países con mayor exposición a servicios de ICS incluyen Estados Unidos (más de 48.000), Turquía, Corea del Sur, Italia, Canadá, España, China, Alemania, Francia, Reino Unido, Japón, Suecia, Taiwán, Polonia y Lituania.
Las métricas se derivan de la exposición de varios protocolos ICS de uso común como Modbus, IEC 60870-5-104, CODESYS, OPC UA y otros.
Un aspecto importante que se destaca es que las superficies de ataque son únicas a nivel regional: Modbus, S7 e IEC 60870-5-104 se observan más ampliamente en Europa, mientras que Fox, BACnet, ATG y C-more se encuentran más comúnmente en Norte América. América. Algunos servicios ICS que se utilizan en ambas regiones incluyen EIP, FINS y WDBRPC.
Es más, el 34% de las interfaces hombre-máquina (HMI) de C-more están relacionadas con el agua y las aguas residuales, mientras que el 23% están asociadas con procesos agrícolas.
“Muchos de estos protocolos se remontan a la década de 1970, pero siguen siendo fundamentales para los procesos industriales sin las mismas mejoras de seguridad que el resto del mundo ha visto”, dijo en un comunicado Zakir Durumeric, cofundador y científico jefe de Censys.
“La seguridad de los dispositivos ICS es un elemento crítico en la protección de la infraestructura crítica de un país. Para protegerla, debemos comprender los matices de cómo estos dispositivos están expuestos y vulnerables”.
Los ataques cibernéticos dirigidos específicamente a sistemas ICS han sido comparativamente raros, y hasta la fecha sólo se han descubierto nueve cepas de malware. Dicho esto, ha habido un aumento en el malware centrado en ICS en los últimos años, especialmente después de la actual guerra ruso-ucraniana.
A principios de julio, Dragos reveló que una empresa de energía ubicada en Ucrania fue atacada por un malware conocido como FrostyGoop, que aprovecha las comunicaciones Modbus TCP para interrumpir las redes de tecnología operativa (OT).
También llamado BUSTLEBERM, el malware es una herramienta de línea de comandos de Windows escrita en Golang que puede provocar un mal funcionamiento de los dispositivos expuestos públicamente y, en última instancia, provocar una denegación de servicio (DoS).
“Aunque los malos actores utilizaron el malware para atacar los dispositivos de control ENCO, el malware puede atacar cualquier otro tipo de dispositivo que hable Modbus TCP”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks Asher Davila y Chris Navarrete en un informe publicado a principios de esta semana.
“Los detalles que necesita FrostyGoop para establecer una conexión Modbus TCP y enviar comandos Modbus a un dispositivo ICS específico pueden proporcionarse como argumentos de línea de comandos o incluirse en un archivo de configuración JSON separado”.
Según los datos de telemetría capturados por la empresa, 1.088.175 dispositivos Modbus TCP estuvieron expuestos a Internet durante un período de un mes entre el 2 de septiembre y el 2 de octubre de 2024.
Los actores de amenazas también han puesto sus miras en otras entidades de infraestructura crítica como las autoridades del agua. En un incidente registrado en los EE. UU. el año pasado, la Autoridad Municipal del Agua de Aliquippa, Pensilvania, fue violada al aprovechar los controladores lógicos programables (PLC) de Unitronics expuestos a Internet para desfigurar los sistemas con un mensaje antiisraelí.
Censys descubrió que las HMI, que se utilizan para monitorear e interactuar con los sistemas ICS, también están cada vez más disponibles a través de Internet para admitir el acceso remoto. La mayoría de las HMI expuestas se encuentran en EE. UU., seguidas de Alemania, Canadá, Francia, Austria, Italia, Reino Unido, Australia, España y Polonia.
Curiosamente, la mayoría de los servicios HMI e ICS identificados residen en proveedores de servicios de Internet (ISP) móviles o de nivel empresarial, como Verizon, Deutsche Telekom, Magenta Telekom y Turkcell, entre otros, y ofrecen metadatos insignificantes sobre quién está utilizando realmente el sistema.
“Las HMI a menudo contienen logotipos de empresas o nombres de plantas que pueden ayudar a identificar al propietario y al sector”, dijo Censys. “Los protocolos ICS rara vez ofrecen esta misma información, lo que hace casi imposible identificar y notificar a los propietarios de las exposiciones. Probablemente sea necesaria la cooperación de las principales empresas de telecomunicaciones que albergan estos servicios para resolver este problema”.
Que las redes ICS y OT proporcionen una amplia superficie de ataque para que los actores maliciosos la exploten requiere que las organizaciones tomen medidas para identificar y proteger los dispositivos OT e ICS expuestos, actualizar las credenciales predeterminadas y monitorear las redes en busca de actividad maliciosa.
El riesgo para dichos entornos se ve agravado por un aumento en el malware de botnets (Aisuru, Kaiten, Gafgyt, Kaden y LOLFME) que explotan las credenciales predeterminadas de OT no solo para usarlas para realizar ataques distribuidos de denegación de servicio (DDoS), sino también para borrar datos presentes en ellos.
La divulgación se produce semanas después de que Forescout revelara que las estaciones de trabajo de imágenes y comunicaciones digitales en medicina (DICOM) y los sistemas de comunicación y archivo de imágenes (PACS), los controladores de bombas y los sistemas de información médica son los dispositivos médicos de mayor riesgo para las organizaciones de prestación de atención médica (HDO).
DICOM es uno de los servicios más utilizados por los dispositivos de Internet de los objetos médicos (IoMT) y uno de los más expuestos en línea, señaló la empresa de ciberseguridad, con un número significativo de instancias ubicadas en EE.UU., India, Alemania, Brasil, Irán, y China.
“Las organizaciones sanitarias seguirán enfrentándose a desafíos con los dispositivos médicos que utilizan sistemas heredados o no estándar”, afirmó Daniel dos Santos, jefe de investigación de seguridad de Forescout.
“Un solo punto débil puede abrir la puerta a datos confidenciales de pacientes. Es por eso que identificar y clasificar activos, mapear el flujo de comunicaciones de la red, segmentar redes y monitorear continuamente son esenciales para proteger las redes de atención médica en crecimiento”.