Διεθνής συνασπισμός υπηρεσιών κυβερνοασφάλειας, με προεξέχουσες τη CISA, το FBI, την NSA, το Υπουργείο Ενέργειας των ΗΠΑ, την EPA και το DC3, προειδοποιεί για στοχεύσεις από φιλορωσικές ομάδες hacktivist και αυξημένη έκθεση συστημάτων OT και SCADA.

Κοινή προειδοποίηση εξέδωσαν η CISA, το FBI, η NSA, το Υπουργείο Ενέργειας, η EPA, το DC3 και ένας διευρυμένος συνασπισμός διεθνών φορέων κυβερνοασφάλειας, ο οποίος περιλαμβάνει εθνικές υπηρεσίες πληροφοριών, κέντρα αντιμετώπισης κυβερνοεγκλήματος, οργανισμούς επιβολής του νόμου και εθνικά κέντρα κυβερνοασφάλειας από την Ευρώπη, τον Καναδά, το Ηνωμένο Βασίλειο, την Αυστραλία και τη Νέα Ζηλανδία, επιχειρώντας να καταγράψουν και να αναχαιτίσουν μια ανησυχητική κλιμάκωση σε επιθέσεις εναντίον κρίσιμων υποδομών.

Η ανακοίνωση λειτουργεί ως συνέχεια προηγούμενων παρεμβάσεων για την προστασία του Operational Technology και των βιομηχανικών συστημάτων ελέγχου και συγκεντρώνει πληροφορίες από Ηνωμένες Πολιτείες, Ευρώπη, Ηνωμένο Βασίλειο, Καναδά, Αυστραλία και Νέα Ζηλανδία. 

Σύμφωνα με τη συμβουλευτική προειδοποίηση, φιλορωσικές ομάδες hacktivist -Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16), Sector16, και άλλες ομάδες- στοχεύουν παγκοσμίως οργανισμούς ύδρευσης, ενέργειας, τροφίμων και αγροτικής παραγωγής, εκμεταλλευόμενες ελάχιστα προστατευμένες συνδέσεις VNC που εκτίθενται στο διαδίκτυο, ώστε να αποκτήσουν πρόσβαση σε συστήματα OT  και SCADA. Παρά το ότι οι ενέργειές τους δεν διαθέτουν το επίπεδο τεχνικής πολυπλοκότητας που χαρακτηρίζει κρατικές ομάδες APT, οι επιθέσεις έχουν ήδη προκαλέσει δυσλειτουργίες και ζημιές σε φυσικό επίπεδο, πέρα από λογισμικό. Για το λόγο αυτό, οι συνυπογράφουσες υπηρεσίες καλούν τις κρίσιμες υποδομές να υιοθετήσουν άμεσα τα μέτρα προστασίας που προτείνονται, θεωρώντας τις επιθέσεις των φιλορωσικών ομάδων αναπόσπαστο τμήμα της ευρύτερης ρωσικής κακόβουλης δραστηριότητας στον κυβερνοχώρο.

Η κοινή προειδοποίηση των CISA, FBI, NSA και των διεθνών εταίρων τους δεν αποτελεί απλώς μια τεχνική ανακοίνωση για τη δραστηριότητα ομάδων hacktivist. Αντιθέτως, λειτουργεί ως σαφής ένδειξη ότι οι φιλορωσικές ψηφιακές ομάδες, οι οποίες αναφέρονται στην ανακοίνωση, έχουν ενταχθεί de facto στον ευρύτερο υβριδικό μηχανισμό πίεσης της Ρωσίας προς τη Δύση. Η επιλογή του όρου “pro-Russia hacktivist groups” δεν είναι καθόλου τυχαία. Υποδηλώνει ευθυγράμμιση με ρωσικά στρατηγικά συμφέροντα, πιθανή καθοδήγηση ή υποστήριξη, αλλά ταυτόχρονα επιτρέπει στις ΗΠΑ να αποφύγουν την άμεση κρατική απόδοση ευθύνης, κίνηση που θα μετέτρεπε μια προειδοποίηση επιχειρησιακού επιπέδου σε διπλωματική αντιπαράθεση. Έτσι, η Ουάσιγκτον αναγνωρίζει το ρόλο της Μόσχας, αλλά επιλέγει να διατηρήσει την πολιτική ένταση σε επίπεδα που θεωρεί διαχειρίσιμα.

Η φύση των επιθέσεων επιβεβαιώνει αυτή την πραγματικότητα. Οι ομάδες των hacker δεν χρησιμοποιούν προηγμένα εργαλεία, αλλά βασίζονται σε ευπάθειες που παραμένουν εκτεθειμένες εδώ και χρόνια. Στοχοποιούν κυρίως VNC, (Virtual Network Computing), ένα πρωτόκολλο απομακρυσμένου ελέγχου υπολογιστών που σε πολλές περιπτώσεις λειτουργεί χωρίς ισχυρή ταυτοποίηση ή με παρωχημένες ρυθμίσεις ασφαλείας. Η πρόσβαση σε ένα εκτεθειμένο VNC μπορεί να ανοίξει τον δρόμο για αλληλεπίδραση με υποδομές που δεν θα έπρεπε ποτέ να είναι προσβάσιμες εκτός του εσωτερικού δικτύου.

Ακόμη πιο επικίνδυνη είναι η στοχοποίηση συστημάτων SCADA (Supervisory Control And Data Acquisition), μηχανισμών που ελέγχουν και παρακολουθούν κρίσιμες λειτουργίες σε βιομηχανικές εγκαταστάσεις. Επειδή πολλά SCADA σχεδιάστηκαν σε εποχές περιορισμένων κυβερνοαπειλών, η σημερινή τους έκθεση δημιουργεί ένα παράθυρο επικινδυνότητας, στο οποίο η τεχνική αδυναμία μετατρέπεται σε γεωπολιτικό όπλο.

Κυβερνοεπιθέσεις συμπληρωματικές των φυσικών πολέμων

Η Ρωσία έχει υιοθετήσει τον κυβερνοχώρο ως συμπληρωματικό πεδίο επιχειρήσεων στον πόλεμο της Ουκρανίας. Η λογική της βασίζεται στο ότι οι ψηφιακές επιθέσεις έχουν χαμηλό ρίσκο, υψηλή ταχύτητα και ευχέρεια πολιτικής άρνησης, άρα ενδείκνυνται για συνεχή φθορά χωρίς άμεση στρατιωτική εμπλοκή. Οι ΗΠΑ απαντούν με συντονισμένη κινητοποίηση ενός ολόκληρου οικοσυστήματος υπηρεσιών, κάτι που σπανίως εμφανίζεται τόσο ανοιχτά. Η συμμετοχή αυτού του μεγάλου συνασπισμού στην πρόσφατη προειδοποίηση δείχνει ότι δεν αντιμετωπίζουν τις επιθέσεις ως περιστασιακές οχλήσεις, αλλά ως οργανικό μέρος της αντιπαράθεσης των δύο υπερδυνάμεων.

Στο ίδιο γεωπολιτικό πλαίσιο εντάσσονται και οι κινήσεις της Ουάσιγκτον στη Λατινική Αμερική. Αν και δεν υπάρχουν επίσημες δηλώσεις που να συνδέουν κράτη όπως η Κούβα και η Βενεζουέλα με ρωσικές κυβερνοεπιχειρήσεις, οι ενδείξεις ότι η περιοχή παρακολουθείται στενά είναι ισχυρές. Η παραδοσιακή σχέση πολλών από αυτές τις χώρες με τη Μόσχα και η δυνατότητα χρήσης τους ως ενδιάμεσων κόμβων για ψηφιακές επιχειρήσεις εξηγούν τη διπλωματική και τεχνική κινητοποίηση των ΗΠΑ, οι οποίες ενισχύουν συνεργασίες και επενδύουν σε πρωτοβουλίες που περιορίζουν το περιθώριο δράσης τέτοιων δικτύων.

Η CISA, λαμβάνοντας υπόψη το σύνολο αυτών των εξελίξεων, παροτρύνει τις κρίσιμες υποδομές να λειτουργούν σαν να βρίσκονται ήδη στο στόχαστρο. Η απομόνωση του OT, o αυστηρός έλεγχος ταυτότητας με μηχανισμούς ευθυγραμμισμένους με αρχιτεκτονική zero-trust, η ωριμότητα στη διαχείριση στοιχείων OT, που περιλαμβάνει πλήρη αποτύπωση, ταξινόμηση και συνεχή παρακολούθηση των λειτουργικών assets και η ενσωμάτωση της ασφάλειας στον σχεδιασμό νέων συστημάτων δεν αποτελούν απλώς καλές πρακτικές, αλλά αναγκαίες προϋποθέσεις για την επιβίωση των υποδομών σε ένα περιβάλλον όπου η ψηφιακή απειλή είναι συνεχής.

Ο κυβερνοπόλεμος δεν βρίσκεται στο περιθώριο της σύγκρουσης,αλλά είναι εν δυνάμει ισότιμο μέτωπο. Οι επιθέσεις χαμηλής τεχνικής πολυπλοκότητας που στοχεύουν SCADA και VNC αποτελούν εφαρμογή στην πράξη στρατηγικής πίεσης, η οποία αποσκοπεί στη δημιουργία κόστους, αβεβαιότητας και φθοράς. Σε αυτό το πλαίσιο, οι κρίσιμες υποδομές δεν είναι απλώς τεχνικοί στόχοι, αλλά η πρώτη γραμμή άμυνας ενός πολέμου που διεξάγεται με φυσικούς και ψηφιακούς όρους ταυτόχρονα.

• Tags: CISA, Cyber Security, OT