Defesa da infraestrutura: Sistemas de água e águas residuais

A nossa primeira publicação sobre infraestruturas detalhou por que razão a água, as comunicações, a energia e o transporte são os principais sectores de infraestruturas críticas nos Estados Unidos. Nesta publicação, vamos rever o Sector de Sistemas de Água e Águas Residuais, as suas entidades governantes e os atores de ameaça que tentam perturbar os sistemas de água.

Este setor garante o acesso a água potável limpa e o tratamento adequado de águas residuais. CISA diz-nos que existem 152.000 sistemas públicos de água potável, incluindo 50.000 sistemas comunitários de água (CWS) e mais de 16.000 sistemas de tratamento de águas residuais. Estes sistemas servem diretamente a maior parte da população dos EUA. Existem outros 100.000+ sistemas de água não comunitários que servem clientes como fábricas, hospitais e outras empresas que têm os seus próprios sistemas internos. A EPA é a Agência de Gestão de Risco do Setor (SRMA) para este setor.

Infelizmente para os EUA, mais de 70% dos sistemas inspecionados pela EPA desde setembro de 2023 estão em violação dos requisitos de cibersegurança do Safe Drinking Water Act (SDWA). A boa notícia é que muitas das violações poderiam ser resolvidas por práticas recomendadas básicas, como mudar senhas padrão, exigir autenticação multifator e implementar o princípio do menor privilégio. Como as instalações de infraestrutura dependem de ambos os sistemas de tecnologia da informação (TI) e de tecnologia operacional (OT) para operar, essas redes evoluem para redes híbridas com lacunas de segurança desconhecidas. Os operadores de água e outras utilidades precisam garantir que têm visibilidade total de toda a sua rede. Também precisam de políticas de segurança consistentes, soluções uniformes e segmentação cuidadosa da superfície de ataque crescente.

Além de carecerem de higiene básica de cibersegurança, muitos sistemas de água falharam em completar as obrigatórias Avaliações de Risco e Resiliência (RRAs) e Planos de Resposta a Emergências (ERPs). A EPA descreve o propósito das RRAs e ERPs desta forma:

"O seu RRA pode identificar furacões como um risco significativo para a sua utilidade e delinear medidas de redução de custos para reduzir o seu risco. O seu ERP, fundamentado nos resultados do RRA, descreve então os processos e procedimentos que podem ser implementados para mitigar os impactos dos furacões (por exemplo, inundações) na sua utilidade."

A partir de 1 de junho de 2024, a EPA aumentou as inspeções e ações de fiscalização contra entidades não conformes.

Atores de Ameaças

Os agentes de ameaças patrocinados pelo estado não são os únicos grupos a atacar sistemas de água, mas são atualmente os mais proeminentes. Por exemplo:

Afiliados russos:

Grupos de hacktivistas como People's Cyber Army (PCA) e Z-Pentest têm como alvo vulnerabilidades em software de computação de rede virtual (VNC), software proprietário de controlo de água, sistemas de controlo industrial (ICS) e equipamentos de rede como firewalls. Eles também atacam outras infraestruturas críticas como energia, alimentos e agricultura e barragens. Eles tiveram sucesso em reconfigurar os parâmetros operacionais dos sistemas de controlo e alterar senhas administrativas para bloquear operadores legítimos.

Ator da ameaça Sandworm é oficialmente designado como "Unidade Militar 74455" e opera como uma unidade de ciber-guerra dentro da agência de inteligência militar russa. O Exército Cibernético da Rússia Renascido(CARR) está ligado ao Sandworm, mas opera de forma mais imprudente e agressiva. Alguns especialistas acreditam que a agência de inteligência militar russa estabeleceu o CARR para conduzir ataques inadequados para o mais sofisticado Sandworm. Ambos os atores da ameaça visam sistemas de infraestrutura crítica e controladores de sistema.

Um dos ataques mais problemáticos ocorreu em Muleshoe, Texas, em janeiro de 2024. Muleshoe está a menos de 40 milhas da Base Aérea de Cannon, lar do Comando de Operações Especiais da Força Aérea dos EUA e da 27ª Ala de Operações Especiais. Os agentes de ameaça conseguiram reconfigurar sistemas de controlo e causar o transbordo de um tanque de água. Os agentes de ameaça usaram o mesmo ataque contra as cidades próximas de Abernathy, Hale Center e Lockney, e publicaram vídeos deles próprios a interagir com os sistemas de controlo de água.

Os investigadores da Mandiant ligaram estes ataques ao Sandworm, embora o CARR tenha reivindicado o crédito. Pode obter mais detalhes sobre estes ataques aqui.

afiliados iranianos

O agente de ameaça Cyber Av3ngers está alegadamente ligado ao Corpo da Guarda Revolucionária Islâmica do Irão (IRGC). Originalmente, pensava-se que o Cyber Av3ngers era um grupo hacktivista independente, mas foi ligado ao IRGC por "conexões com campanhas de hacking previamente identificadas, o alvo e outras informações não públicas". Diz-se também que o IRGC tem agentes de ameaça a operar diretamente no seu Comando Cibernético-Eletrónico (CEC, ou IRGC-CEC).

Os atores de ameaça Cyber Av3ngers e CEC têm como alvo controladores lógicos programáveis (PLCs) e outras tecnologias operacionais (OT) para comprometer sistemas de água nos EUA. Este é um ataque clássico à cadeia de abastecimento contra a infraestrutura dos EUA através de explorações em um PLC de terceiros vulnerável. Como os PLCs vulneráveis são fabricados em Israel, o grupo Cyber Av3ngers aproveita esta oportunidade para atacar tanto os EUA quanto Israel em um único ataque.

"Foste hackeado, abaixo Israel. Todo o equipamento 'feito em Israel' é alvo legal dos CyberAv3ngers."

Relatórios indicam que o grupo está a conduzir ataques oportunistas de baixo nível que visam equipamentos de fabrico israelita. Outras pesquisas mostram que os agentes de ameaça estão a tornar-se mais sofisticados, utilizando malware personalizado IOCONTROL para infiltrar sistemas de água e postos de gasolina.

Afiliados da República Popular da China (RPC):

A RPC tem uma força cibernética sofisticada que está organizada em forças militares e não governamentais. O Exército de Libertação Popular (ELP) controla as forças militares, que têm como alvo empresas de satélites e comunicações nos EUA, Japão e Europa. Além das unidades militares, há dezenas de milhares de civis que ajudam nas atividades de ataque e defesa. O alinhamento ideológico e o grande número de atacantes militares e civis tornam a operação cibernética da RPC uma das mais formidáveis do mundo.

O Gabinete do Diretor de Inteligência Nacional dos EUA relata que os ataques associados à RPC estão entre as “ameaças mais graves e persistentes à segurança nacional dos EUA.” Isto deve-se em grande parte ao volume de ataques e à sofisticação das Ameaças Persistentes Avançadas (APTs) patrocinadas pela RPC. A Câmara dos Representantes dos EUA aprovou por unanimidade a Resolução da Câmara 9769, que estabeleceria uma força-tarefa “para enfrentar as extensivas ameaças cibernéticas colocadas por atores cibernéticos patrocinados pelo estado ligados à RPC.”

O agente de ameaça da PRC Salt Typhoon está atualmente nas manchetes por seu ataque massivo às redes de telecomunicações dos EUA. Os agentes do Salt Typhoon são hábeis em utilizar técnicas living-off-the-land (LotL) para manter a persistência e o stealth. Atualmente, não estão ligados a ataques a sistemas de água, mas todos os setores dependem de comunicações fiáveis. As autoridades alertaram todas as indústrias e setores para se defenderem contra esta ameaça.

No início deste ano, as autoridades norte-americanas descobriram que o ator de ameaça afiliado à RPC, Volt Typhoon, mantinha acesso a sistemas de infraestrutura-chave há pelo menos cinco anos. Este ator de ameaça envolve-se em atividades de 'pré-posicionamento', o que significa que o atacante se coloca numa posição para conduzir futuros ataques. Através destes atores de ameaça, a RPC tem acesso imediato à infraestrutura dos EUA, que pode utilizar à vontade. Os ataques do Volt Typhoon afetam todos os sectores de infraestrutura, com ênfase na energia, comunicações, transportes e água.

Ator de ameaça BlackTech tem como alvo sistemas governamentais, múltiplos setores de infraestrutura e entidades que apoiam os militares dos EUA e do Japão. Este grupo é conhecido pela sua longevidade e amplo inventário de malware personalizado e mecanismos de persistência. BlackTech tem como alvo firewalls vulneráveis que protegem os escritórios remotos ou filiais de grandes empresas. Uma vez dentro, tentam misturar-se com o tráfego de rede, mover-se para as redes maiores e escalar privilégios até terem controlo administrativo total sobre os ativos visados.

Em setembro de 2023, um aviso conjunto redigido por autoridades dos EUA e Japão alertou o público:

“A BlackTech demonstrou capacidades de modificação de firmware de routers sem deteção e de exploração das relações de confiança de domínio dos routers para passar de subsidiárias internacionais para as sedes no Japão e nos Estados Unidos—os principais alvos.”

A Agência de Segurança Nacional dos EUA (NSA) juntou-se a outras agências de aplicação da lei para alertar o público sobre estas ameaças.

Desafios para a segurança dos sistemas de água e de águas residuais

Restrições orçamentais, sistemas legados/descontinuados e vulnerabilidades na cadeia de abastecimento são desafios para todos os setores, e a orientação para mitigar estes riscos será semelhante em todos os casos. No entanto, a fragmentação da infraestrutura de água apresenta alguns desafios únicos.

92% dos sistemas de água comunitários são pequenos sistemas públicos de água (PWSs) que servem menos de 10.000 clientes. A maioria dos pequenos fornecedores de PWS serve menos de 500 clientes, o que os torna atraentes para os atores de ameaças à procura de alvos fáceis. Os sistemas menores muitas vezes têm menos recursos e menos conhecimento em cibersegurança disponível, e é por isso que aquelas práticas básicas de higiene cibernética são tão importantes. Uma gestão disciplinada e consistente de patches e segurança de credenciais pode fechar muitas das lacunas nessas redes.

"O risco comunitário dos ciberataques inclui um atacante a obter controlo sobre as operações de um sistema para danificar a infraestrutura, interromper a disponibilidade ou o fluxo de água, ou alterar os níveis químicos, o que poderia permitir que águas residuais não tratadas fossem descarregadas num curso de água ou contaminassem a água potável fornecida a uma comunidade," ~ Porta-voz da EPA citado pela CNBC: A água potável na América está sob ataque, com ligações de volta à China, Rússia e Irão.

Orientação para operadores de sistemas de água

“A água está entre os menos maduros em termos de segurança”, Adam Isles, chefe da prática de cibersegurança do Chertoff Group, citado pela CNBC: Administração Biden, portos dos EUA preparam-se para ciberataques à medida que a infraestrutura nacional é alvo

A EPA, CISA e outras agências publicaram práticas recomendadas e outras orientações para infraestrutura:

• Segurança de Rede: Limitar a conectividade à internet de dispositivos de tecnologia operacional (OT), como controladores e terminais remotos. Sempre que possível, manter a segmentação entre sistemas de TI e OT.
• Controlo de Acesso e Autenticação: Altere as palavras-passe padrão imediatamente e aplique medidas de controlo de acesso rigorosas, incluindo autenticação multifator (MFA) sempre que possível. Implemente uma solução de confiança zero que proteja o acesso a todos os sistemas de TI e OT.
• Gestão de Ativos: Manter um inventário atualizado de ativos OT/IT para compreender o que necessita de proteção. Priorizar dispositivos de maior risco, como dispositivos automatizados ou ligados à internet.
• Backup e Recuperação: Faça backup regularmente de sistemas OT e IT, utilizando o sistema NIST 3-2-1. Teste os procedimentos de backup regularmente e monitore o sistema para novas partilhas de ficheiros e locais de armazenamento de dados que possam estar fora do conjunto de backup atual.  
• Gestão de Vulnerabilidades: Mitigue vulnerabilidades conhecidas e aplique correções e atualizações de segurança o mais rapidamente possível. Priorize as correções de acordo com o catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA.
• Formação e Sensibilização: Formar o pessoal e os contratados sobre sensibilização para a cibersegurança e Best Practice. Ensinar os funcionários a reconhecer e evitar tentativas de phishing.
• Planeamento de Resposta a Incidentes: Desenvolver e testar planos de resposta e recuperação a incidentes de cibersegurança. Estabelecer procedimentos de emergência e realizar operações manuais de sistemas automatizados caso estes sistemas sejam comprometidos.

A EPA tem mais orientações de segurança aqui.

Orientação ao público

A CISA e outras agências também emitiram orientações para o público. Estas variam desde práticas comuns de cibersegurança até à defesa da infraestrutura.

• Pratique bons hábitos de cibersegurança em casa, especialmente se utilizar contadores de água inteligentes ou dispositivos de água ligados à internet. Isto inclui o uso de palavras-passe fortes e autenticação multifator (MFA) para quaisquer contas relacionadas com serviços de água.
• Relatar comportamento suspeito observado perto de instalações de infraestrutura de água. Estes podem ser fontes de água, estações de tratamento, sistemas de distribuição ou outros elementos da infraestrutura. A entidade governante pode ser uma autoridade local ou uma empresa de serviços de água.
• Envolva-se com as autoridades locais e as empresas de serviços públicos para aprender sobre os desafios do sistema de água na sua comunidade. Defenda o aumento de recursos de cibersegurança onde necessário.

Os utilizadores e empregados dos sistemas de infraestrutura de água devem proteger diligentemente as suas credenciais. Os atacantes irão direcionar estrategicamente indivíduos relevantes para o ataque maior. Temos visto isso acontecer muitas vezes, mais recentemente por atores de ameaça IRGC que estão a direcionar indivíduos que “têm alguma ligação com assuntos iranianos e do Médio Oriente, como atuais ou antigos altos funcionários do governo, pessoal de think tanks seniores, jornalistas, ativistas e lobistas. Mais recentemente, o FBI observou estes atores a direcionar pessoas associadas a campanhas políticas dos EUA.”

Este mesmo tipo de ameaça é utilizado contra indivíduos afiliados a sistemas de água e outras infraestruturas. As infraestruturas críticas são uma questão de segurança nacional. Cada operador nestes sistemas deve incentivar uma cultura de sensibilização para a segurança e praticar uma boa higiene cibernética.

O nosso próximo blogue sobre infraestruturas irá cobrir o setor das comunicações. Se gostaria de saber mais sobre infraestruturas críticas, o site oficial dos EUA tem imensos recursos.