Connect with us

Hola, ¿Qué estas buscando?

ACTUALIDAD

Un actor de amenazas ataca a empresas a través de los sistemas de automatización de edificios

18 de julio de 2022

A mediados de octubre de 2021, Kaspersky ICS CERT descubrió un actor de amenazas de habla china previamente desconocido que atacaba a organizaciones de telecomunicaciones, producción y transporte en varios países asiáticos. Durante los ataques iniciales, el grupo explotó la vulnerabilidad de MS Exchange para implementar el malware ShadowPad y se infiltró en los sistemas de automatización de edificios de una de las víctimas.

Un sistema de automatización de edificios (BAS) conecta todas las funciones dentro del edificio, desde la electricidad o calefacción hasta posibles incendios y seguridad, y se gestiona desde un centro de control. Una vez se compromete un BAS, todos los procesos dentro de esa organización están en riesgo, incluidos los relacionados con la seguridad de la información.

Los expertos de Kaspersky ICS CERT detectaron ataques contra organizaciones en Pakistán, Afganistán y Malasia en el sector industrial y telecomunicaciones. Los ataques tenían un conjunto único de tácticas, técnicas y procedimientos (TTPs), lo que llevó a los expertos a creer que el mismo actor de amenazas de habla china estaba detrás de todos estos ataques observados. Su atención se centró particularmente en el uso por parte del actor de los equipos de ingeniería en sistemas de automatización de edificios, pertenecientes a las infraestructuras de las empresas, como punto de infiltración, algo inusual para los grupos APT. Al tomar el control de esos sistemas, el atacante puede llegar a otros sistemas aún más sensibles de la organización atacada.

Como mostró la investigación, la herramienta principal del grupo APT el backdoor ShadowPad. Kaspersky ha sido testigo del uso de este malware por parte de varios actores APT de habla china. Durante los ataques del actor observado, ShadowPad se descargó en los ordenadores atacados bajo la apariencia de software legítimo. En muchos casos, el grupo atacante aprovechó una vulnerabilidad conocida en MS Exchange y entró en los comandos manualmente, lo que indica la naturaleza altamente específica de sus campañas.

Los sistemas de automatización de edificios no son objetivos comunes para los actores de amenazas avanzados. Sin embargo, esos sistemas pueden ser una fuente valiosa de información altamente confidencial y pueden proporcionar a los atacantes una puerta trasera a otras áreas de infraestructura más seguras. Dado que estos ataques se desarrollan con extrema rapidez, deben detectarse y mitigarse durante sus primeras etapas. Por lo tanto, nuestro consejo es monitorizar constantemente los sistemas mencionados, especialmente en sectores críticos”, comenta Kirill Kruglov, experto en seguridad de Kaspersky ICS CERT.

Para mantener los equipos OT protegidos contra diversas amenazas, los expertos de Kaspersky recomiendan:

  • Actualizar periódicamente los sistemas operativos y cualquier software de aplicación que forme parte de la red de la empresa. Aplica correcciones y parches de seguridad a los equipos de red OT tan pronto como estén disponibles.
  • Realizar auditorías periódicas de seguridad de los sistemas OT para identificar y eliminar posibles vulnerabilidades.
  • Usar soluciones de monitorización, análisis y detección de tráfico de red OT para una mejor protección contra ataques que potencialmente amenazan los sistemas OT y los activos principales de la empresa.
  • Brindar capacitación específica a la seguridad de OT para los equipos de seguridad TI y los ingenieros de OT. Esto es crucial para mejorar la respuesta a técnicas maliciosas nuevas y avanzadas.
  • Proporcionar al equipo de seguridad responsable de proteger los sistemas de control industrial la inteligencia actualizada sobre amenazas. El servicio ICS Threat Intelligence Reporting proporciona información sobre las amenazas actuales y los vectores de ataque, así como los elementos más vulnerables en OT y cómo mitigarlos.
  • Uso de soluciones de seguridad para endpoints y redes de OT como Kaspersky Industrial CyberSecurity para garantizar una protección integral para todos los sistemas críticos.
  • Proteger la infraestructura de TI. Integrated Endpoint Security protege los endpoints corporativos y permite la detección automática de amenazas y capacidades de respuesta.

Puedes consultar más información sobre los ataques a través de sistemas de automatización de edificios en la web ICS CERT de Kaspersky.

Kaspersky

Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es

Advertisement

Libro recomendado para programadores que quieren emprender o desarrollar una idea.