Agua envenenada en USA: Escritorios Remotos y TeamViewer vulnerables

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El 5 de febrero de 2021, actores no identificados obtuvieron acceso no autorizado al sistema de control de supervisión y adquisición de datos (SCADA) en una instalación de tratamiento de agua potable de EE.UU.

Los atacantes no identificados utilizaron el software del sistema SCADA para aumentar la cantidad de hidróxido de sodio, también conocido como lejía, un químico cáustico, como parte del proceso de tratamiento del agua. El personal de la planta de tratamiento de agua notó inmediatamente el cambio en las cantidades de dosificación y corrigió el problema antes de que el software del sistema SCADA detectara la manipulación y se alarmara debido al cambio no autorizado.

Como resultado, el proceso de tratamiento de agua no se vio afectado y siguió funcionando con normalidad. Los actores cibernéticos probablemente accedieron al sistema aprovechando las debilidades de la seguridad, incluida la seguridad deficiente de la contraseña y un sistema operativo desactualizado.

La información preliminar indica que es posible que se haya utilizado un software de uso compartido de escritorio, como TeamViewer, para obtener acceso no autorizado al sistema, aunque esto no se puede confirmar en la actualidad. La respuesta en el lugar al incidente incluyó la Oficina del Sheriff del Condado de Pinellas (PCSO), el Servicio Secreto de los Estados Unidos (USSS) y la Oficina Federal de Investigaciones (FBI).

El FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Protección Ambiental (EPA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) han observado ciberdelincuentes que atacan y explotan software de uso compartido de escritorio y sistemas operativos antiguos para obtener acceso no autorizado a los sistemas.

El software para compartir escritorio, que tiene múltiples usos legítimos, como habilitar el trabajo a distancia, el soporte técnico remoto y la transferencia de archivos, también puede explotarse mediante el uso de tácticas de ingeniería social por parte de actores malintencionados y otras medidas ilícitas.

Uso de Windows 7

El 14 de enero de 2020, Microsoft finalizó el soporte para el sistema operativo Windows 7, que incluye actualizaciones de seguridad y soporte técnico a menos que ciertos clientes hayan comprado un plan de Actualización de Seguridad Extendida (ESU). El plan ESU se paga por dispositivo y está disponible para las versiones Windows 7 Professional y Enterprise, con un precio que aumenta cuanto más tiempo lo usa el cliente. Microsoft solo ofrecerá el plan ESU hasta enero de 2023. El uso continuo de Windows 7 aumenta el riesgo de que un actor cibernético explote un sistema informático.
 
Windows 7 se volverá más susceptible a la explotación debido a la falta de actualizaciones de seguridad y al descubrimiento de nuevas vulnerabilidades. Microsoft y otros profesionales de la industria recomiendan encarecidamente actualizar los sistemas informáticos a un sistema operativo con soporte activo. Continuar usando cualquier sistema operativo dentro de una empresa más allá del final de su vida útil puede proporcionar acceso a los ciberdelincuentes a los sistemas informáticos.

Los delincuentes continúan encontrando puntos de entrada en los sistemas operativos heredados de Windows y aprovechan las vulnerabilidades del Protocolo de escritorio remoto (RDP). Microsoft lanzó un parche de emergencia para sus sistemas operativos más antiguos, incluido Windows 7, después de que un investigador de seguridad descubrió una vulnerabilidad de RDP en mayo de 2019.

Desde finales de julio de 2019, la actividad maliciosa de RDP ha aumentado con el desarrollo de un exploit comercial funcional para el vulnerabilidad. Los actores cibernéticos a menudo utilizan controles de acceso de RDP mal configurados o asegurados de manera inadecuada para llevar a cabo ataques cibernéticos. Por ejemplo, xDedic Marketplace, eliminado por las fuerzas del orden público en 2019, se hizo famoso por publicar las vulnerabilidades de RDP en todo el mundo.

Además de ajustar las operaciones del sistema, los atacantes también utilizan las siguientes técnicas:

•   Utilizar el acceso obtenido para realizar transferencias bancarias fraudulentas.
•   Inyectar código malicioso
•   Proteger los archivos maliciosos para que no se detecten
•   Controlar los parámetros de inicio del software para ocultar su actividad.
•   Realizar movimiento lateral a través de una red para aumentar el alcance de la actividad.

TeamViewer vulnerable

•   TeamViewer es una herramienta popular legítima que ha sido explotada por atacantes involucrados en ataques de ingeniería social dirigidos, así como en campañas de phishing indiscriminadas a gran escala. Más allá de sus usos legítimos, cuando no se siguen las medidas de seguridad adecuadas, las herramientas de acceso remoto pueden usarse para ejercer control remoto sobre los sistemas informáticos y colocar archivos en las computadoras de las víctimas, lo que lo hace funcionalmente similar a los troyanos de acceso remoto (RAT).
•   El uso legítimo de TeamViewer hace que las actividades anómalas sean menos sospechosas para los usuarios finales y los administradores del sistema en comparación con las RAT.

Fuente:
Hacking Land
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta