Drinkwater- en rioolwaterzuiveringsbedrijven, dammen en bedrijven in de energie- en landbouwsector in de Verenigde Staten en Europese Unie zijn het doelwit van aanvallen waarbij operationele systemen door middel van standaard wachtwoorden en VNC worden gecompromitteerd. Daarvoor waarschuwen onder andere de FBI, de Amerikaanse geheime dienst NSA en het Britse National Cyber Security Centre (NCSC) (pdf).

Volgens de diensten weten de aanvallers modulaire, vanaf internet toegankelijke industriële controlesystemen (ICS) via hun softwarecomponenten te compromitteren, zoals human machine interfaces (HMI's). Zo maken de aanvallers gebruik van het VNC-protocol om toegang tot de HMI's te krijgen en aanpassingen aan de onderliggende operationele technologie (OT) door te voeren. Virtual Network Computing (VNC) is software om op afstand systemen mee te kunnen bedienen.

Ook maken de aanvallers gebruik van het 'VNC Remote Frame Buffer Protocol' om op de HMI's in te loggen. Verder gebruiken de aanvallers VNC over poort 5900 om via standaard of zwakke wachtwoorden in te loggen op accounts waarvoor geen multifactorauthenticatie (MFA) is ingesteld. De FBI stelt ook dat verschillende gecompromitteerde HMI's niet ondersteunde, legacy apparaten waren die in het buitenland waren gemaakt en als Amerikaanse apparaten werden aangeboden.

In de waarschuwing wordt gesteld dat de aanvallen vooral voor overlast zorgen. Zo werden bij verschillende aanvallen politieke boodschappen op de schermen van gecompromitteerde systemen geplaatst. De diensten stellen dat uit onderzoek blijkt dat de aanvallers in staat zijn om technieken toe te passen die voor een 'fysieke dreiging' tegen onveilige en verkeerd geconfigureerde OT-omgevingen kunnen zorgen. Bij verschillende aanvallen werden instellingen gewijzigd waardoor waterpompen buiten hun normale parameters opereerden. Ook werden alarmmechanismes uitgeschakeld.

Waterbedrijven worden opgeroepen om standaard en zwakke wachtwoorden van HMI's door sterke wachtwoorden te veranderen. Tevens moet ervoor worden gezorgd dat HMI's, zoals touchscreens waarmee systemen worden gemonitord of beheerd, of programmable logic controllers (PLC's), niet vanaf het publieke internet toegankelijk zijn. Ook wordt aangeraden VNC up-to-date te houden en remote inlogpogingen op HMI's te loggen. Een ander advies betreft het toepassen van een allowlist met alleen toegestane ip-adressen. Volgens de diensten zijn de aanvallen het werk van pro-Russische hacktivisten.