Dia da Segurança da Informação do Vietname 2024: OPSWAT Apresenta os desafios e as soluções em matéria de cibersegurança 

Durante a conferência principal, o Sr. Cuong La, Vice-Presidente de I&D e Diretor Geral da OPSWAT Vietnam, discutiu o ataque FrostyGoop, uma recente violação de tecnologia operacional (OT) na Ucrânia, como um estudo de caso. O Sr. Cuong analisou o ataque e apresentou soluções para o combater e ataques de rede OT semelhantes.

O ciberataque FrostyGoop, que teve lugar em abril de 2024, foi um acontecimento significativo no domínio da cibersegurança industrial. Este malware teve como alvo uma instalação de energia no oeste da Ucrânia, deixando 600 famílias sem aquecimento durante dois dias com temperaturas negativas. Concebido para se infiltrar em ambientes ICSIndustrial sistemas de controloIndustrial ) e OT, o malware representa uma séria ameaça para as infra-estruturas críticas.

O FrostyGoop explora o protocolo Modbus, um padrão amplamente utilizado em ICS, para interagir com as operações e perturbá-las. Os piratas informáticos enviam comandos Modbus maliciosos para os sistemas de controlo, causando avarias e falhas no sistema. Este incidente fez soar o alarme na comunidade da cibersegurança, realçando as vulnerabilidades dos ambientes ICS, em especial os que não dispõem de segmentação ou monitorização adequadas.

Eis os passos dados pelos atacantes no ciberataque FrostyGoop:

1. Explorar uma vulnerabilidade num router MikroTik virado para o exterior. 
2. Implementar uma shell Web com acesso por túnel através do endereço TOR. 
3. Recuperar a colmeia de registo do SAM (Security Account Manager). 
4. Implantar e testar o malware FrostyGoop, um binário Golang usando configurações JSON. 
5. Estabelecer ligações a endereços IP baseados em Moscovo. 
6. Enviar comandos Modbus maliciosos para o FrostyGoop. 
7. Enviar comandos diretamente para os controladores do sistema de aquecimento, comunicando medições falsas. 
8. A instalação de energia desliga temporariamente o aquecimento e o fornecimento de água quente com base em medições incorrectas. 

O Sr. Cuong e a sua equipa em OPSWAT identificaram 1.137 dispositivos Modbus activos no Vietname que eram detectáveis na Internet, dos quais um número significativo estava concentrado na cidade de Ho Chi Minh (197 dispositivos) e em Hanói (145 dispositivos). Estes dispositivos destinam-se a ser protegidos e indetectáveis online, uma vez que os sistemas OT estão normalmente isolados da Internet (air-gapped).

As redes OT expostas são alvos atractivos para os piratas informáticos, e os danos potenciais podem ser substanciais, dado que estas redes suportam frequentemente infra-estruturas críticas, com impacto na segurança nacional e nas comunidades. Esta descoberta sugere que muitos sistemas OT no Vietname são geridos e protegidos de forma inadequada, criando vulnerabilidades de segurança que podem ser exploradas por atacantes.

Através deste estudo de caso, o Sr. Cuong salientou a necessidade urgente de melhorar a segurança da rede IT/OT e a monitorização contínua para detetar e mitigar ameaças semelhantes. O incidente FrostyGoop serve como um lembrete importante da razão pela qual as organizações devem dar prioridade aos investimentos em cibersegurança, especialmente para proteger infra-estruturas críticas.

Relativamente às melhores práticas, o Sr. Cuong delineou 5 tácticas de controlo de cibersegurança que, quando utilizadas em conjunto, criam um sistema de controlo industrial (ICS) eficaz ou um programa de segurança OT (1):