Το FBI προειδοποίησε στις 20 Αυγούστου ότι κυβερνοεισβολείς με δεσμούς με τη Ρωσία έχουν παραβιάσει τα συστήματα υπολογιστών σε εργοστάσια, δίκτυα ηλεκτροδότησης, εγκαταστάσεις επεξεργασίας νερού και άλλες κρίσιμες υποδομές στις Ηνωμένες Πολιτείες.
Σύμφωνα με την υπηρεσία, πρόκειται για δράστες που συνδέονται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB), οι οποίοι πραγματοποίησαν κυβερνοεπιθέσεις με στόχο ένα ευρύ φάσμα κρίσιμων υποδομών και οργανισμών τόσο στις ΗΠΑ όσο και διεθνώς. Μέσα από τις παραβιάσεις που σημειώθηκαν τον τελευταίο χρόνο, κατάφεραν να αποσπάσουν αρχεία διαμόρφωσης από χιλιάδες δικτυακές συσκευές που σχετίζονται με αμερικανικούς φορείς σε τομείς ζωτικής σημασίας.
Οι κυβερνοεισβολείς αξιοποίησαν τη μη εξουσιοδοτημένη πρόσβαση για να συλλέξουν πληροφορίες από τα δίκτυα των θυμάτων, δείχνοντας ιδιαίτερο ενδιαφέρον για πρωτόκολλα και εφαρμογές που χρησιμοποιούνται σε συστήματα ελέγχου.
Η κοινότητα κυβερνοασφάλειας έχει αποδώσει στις ομάδες αυτές τις κωδικές ονομασίες «Berserk Bear» και «Dragonfly». Σύμφωνα με το FBI, οι δράστες εκμεταλλεύονται δύο βασικές αδυναμίες σε παλαιότερες ή μη ασφαλισμένες δικτυακές συσκευές: το Simple Network Management Protocol (SNMP) και το Cisco Smart Install, τα οποία δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας.
Ιδιαίτερα εκτεθειμένοι θεωρούνται οι τομείς ενέργειας, ύδρευσης, αποβλήτων, τηλεπικοινωνιών, βιομηχανίας, αερομεταφορών και δημόσιας διοίκησης, καθώς συχνά χρησιμοποιούν παρωχημένο εξοπλισμό που δεν μπορεί να αναβαθμιστεί επαρκώς.
Το FBI και άλλες υπηρεσίες είχαν εκδώσει αντίστοιχες προειδοποιήσεις ήδη από το 2018 και εκ νέου τον περασμένο Μάιο. Τότε, η Ομοσπονδιακή Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (Cybersecurity and Infrastructure Security Agency – CISA) είχε καλέσει τους οργανισμούς να εφαρμόσουν οδηγίες ανίχνευσης και πρόληψης, να ελέγχουν την ύπαρξη ασυνήθιστης δικτυακής κίνησης, ανεξήγητης δραστηριότητας και καταστροφής αρχείων καταγραφής.
Τον Μάιο, οι φορείς είχαν προειδοποιηθεί εκ νέου να λάβουν άμεσα μέτρα για την ενίσχυση της ασφάλειας σε επιχειρησιακή τεχνολογία και βιομηχανικά συστήματα ελέγχου, ενώ συνιστούσαν τη διακοπή των συνδέσεων αυτών των συστημάτων με το διαδίκτυο.
Οι ομοσπονδιακές Αρχές είχαν επισημάνει ότι οι επιτιθέμενοι χρησιμοποιούν απλά και επαναλαμβανόμενα εργαλεία που είναι διαθέσιμα σε οποιονδήποτε έχει πρόσβαση σε μηχανή αναζήτησης, καλώντας τις κρίσιμες υποδομές να εντοπίζουν και να απομονώνουν τυχόν δημόσια εκτεθειμένα στοιχεία.
Συμπληρωματικά, είχαν προτρέψει οργανισμούς να αλλάξουν κωδικούς πρόσβασης και να ενισχύσουν την ασφάλεια της απομακρυσμένης πρόσβασης.
Παράλληλα, η Cisco Talos, το τμήμα ανάλυσης απειλών της Cisco, δημοσίευσε στις 20 Αυγούστου σχετική αναφορά, στην οποία ανέφερε ότι η ομάδα «Static Tundra», μια ρωσική, κρατικά υποστηριζόμενη ομάδα κυβερνοκατασκοπείας, που συνδέεται με τους ίδιους δράστες, δραστηριοποιείται εδώ και πάνω από μία δεκαετία.
Σύμφωνα με τα στοιχεία, ειδικεύεται στην παραβίαση δικτυακών συσκευών με στόχο τη μακροχρόνια συλλογή πληροφοριών, εκμεταλλευόμενη το κενό ασφαλείας στη λειτουργία Smart Install του λογισμικού Cisco IOS.
Της Jill McLaughlin
