To farlige malware-værktøjer rettet mod industrielle kontrolsystemer (ICS) og driftsteknologi (OT) miljøer i Europa er de seneste manifestationer af cybernedfaldet fra krigen i Ukraine.
Et af værktøjerne, kaldet "Kapeka", ser ud til at være forbundet med Sandworm, en produktiv russisk statsstøttet trusselaktør, som Googles sikkerhedsgruppe Mandiant i denne uge beskrev som landets primære cyberangrebsenhed i Ukraine. Sikkerhedsforskere fra Finland-baserede WithSecure opdagede bagdøren i 2023-angreb mod et estisk logistikfirma og andre mål i Østeuropa og opfatter det som en aktiv og vedvarende trussel.
Destruktiv malware
Den anden malware - noget farverigt eftersynkroniseret Fuxnet — er et værktøj, som den Ukraines regeringsstøttede trusselgruppe Blackjack sandsynligvis brugte i et nyligt destruktivt angreb mod Moskollector, en virksomhed, der vedligeholder et stort netværk af sensorer til overvågning af Moskvas kloaksystem. Angriberne brugte Fuxnet til med succes at mure, hvad de hævdede var i alt 1,700 sensor-gateways på Moskollectors netværk og deaktiverede i processen omkring 87,000 sensorer forbundet til disse gateways.
"Hovedfunktionaliteten af Fuxnet ICS-malware var at korrumpere og blokere adgangen til sensorgateways og forsøge også at ødelægge de fysiske sensorer," siger Sharon Brizinov, direktør for sårbarhedsforskning hos ICS-sikkerhedsfirmaet Claroty, som for nylig undersøgte Blackjacks angreb. Som et resultat af angrebet bliver Moskollector sandsynligvis nødt til fysisk at nå hver af de tusindvis af berørte enheder og erstatte dem individuelt, siger Brizinov. "For at genoprette [Moskollectors] evne til at overvåge og drive kloaksystemet rundt omkring i Moskva, bliver de nødt til at anskaffe og nulstille hele systemet."
Kapeka og Fuxnet er eksempler på det bredere cybernedfald fra konflikten mellem Rusland og Ukraine. Siden krigen mellem de to lande startede i februar 2022 - og endda i god tid før det - udviklede og brugte hackergrupper fra begge sider en række malware-værktøjer mod hinanden. Mange af værktøjerne, inklusive vinduesviskere og ransomware, har været destruktiv eller forstyrrende og primært målrettet kritisk infrastruktur, ICS og OT-miljøer i begge lande.
Men ved flere lejligheder har angreb, der involverer værktøjer, affødt af den langvarige konflikt mellem de to lande påvirket en bredere række af ofre. Det mest bemærkelsesværdige eksempel er fortsat NotPetya, et malware-værktøj, som Sandworm-gruppen oprindeligt udviklede til brug i Ukraine, men som endte med at påvirke titusindvis af systemer verden over i 2017. I 2023 Storbritanniens nationale cybersikkerhedscenter (NCSC) og US National Security Agency (NSA) advarede om et Sandworm malware-værktøjssæt kaldet "Infamous Chisel", der udgør en trussel mod Android-brugere overalt.
Kapeka: En sandorm-erstatning for GreyEnergy?
Ifølge WithSecure er Kapeka en ny bagdør, som angribere kan bruge som et tidligt værktøjssæt og til at muliggøre langsigtet vedholdenhed på et offersystem. Malwaren inkluderer en dropper-komponent til at slippe bagdøren på en målmaskine og derefter fjerne sig selv. "Kapeka understøtter alle grundlæggende funktioner, der gør det muligt at fungere som en fleksibel bagdør i ofrets ejendom," siger Mohammad Kazem Hassan Nejad, forsker hos WithSecure.
Dens muligheder inkluderer læsning og skrivning af filer fra og til disk, udførelse af shell-kommandoer og lancering af ondsindede nyttelaster og processer, inklusive levende-off-the-land binære filer. "Efter at have fået den første adgang, kan Kapekas operatør bruge bagdøren til at udføre en lang række opgaver på ofrets maskine, såsom opdagelse, implementering af yderligere malware og iscenesættelse af de næste stadier af deres angreb," siger Nejad.
Ifølge Nejad var WithSecure i stand til at finde beviser, der tyder på en forbindelse til Sandworm og gruppens GreyEnergy malware brugt i angreb på Ukraines elnet i 2018. "Vi tror på, at Kapeka kan være en erstatning for GreyEnergy i Sandworms arsenal," bemærker Nejad. Selvom de to malware-eksempler ikke stammer fra den samme kildekode, er der nogle konceptuelle overlapninger mellem Kapeka og GreyEnergy, ligesom der var nogle overlapninger mellem GreyEnergy og dens forgænger, BlackEnergy. "Dette indikerer, at Sandworm kan have opgraderet deres arsenal med nyt værktøj over tid for at tilpasse sig det skiftende trusselslandskab," siger Nejad.
Fuxnet: Et værktøj til at forstyrre og ødelægge
I mellemtiden identificerer Claritys Brizinov Fuxnet som ICS-malware beregnet til at forårsage skade på specifikt russisk-fremstillet sensorudstyr. Malwaren er beregnet til implementering på gateways, der overvåger og indsamler data fra fysiske sensorer til brandalarmer, gasovervågning, belysning og lignende brugssager.
"Når malwaren er implementeret, vil den mure gateways ved at overskrive dens NAND-chip og deaktivere eksterne fjernadgangsfunktioner, hvilket forhindrer operatører i at fjernstyre enhederne," siger Brizinov.
Et separat modul forsøger så at oversvømme de fysiske sensorer selv med ubrugelig M-Bus trafik. M-Bus er en europæisk kommunikationsprotokol til fjernaflæsning af gas-, vand-, el- og andre målere. "Et af hovedformålene med Blackjacks Fuxnet ICS malware [er] at angribe og ødelægge de fysiske sensorer selv efter at have fået adgang til sensorgatewayen," siger Brizinov. For at gøre det, valgte Blackjack at fuzze sensorerne ved at sende dem et ubegrænset antal M-Bus-pakker. "I bund og grund håbede BlackJack, at ved uendeligt at sende sensoren tilfældige M-Bus-pakker, ville pakkerne overvælde dem og potentielt udløse en sårbarhed, der ville ødelægge sensorerne og placere dem i en ubrugelig tilstand," siger han.
Det vigtigste for organisationer fra sådanne angreb er at være opmærksomme på de grundlæggende sikkerhedsprincipper. Blackjack, for eksempel, ser ud til at have fået root-adgang til målsensor-gateways ved at misbruge svage legitimationsoplysninger på enhederne. Angrebet fremhæver, hvorfor det "er vigtigt at opretholde en god adgangskodepolitik og sikre, at enheder ikke deler de samme legitimationsoplysninger eller bruger standard", siger han. "Det er også vigtigt at implementere god netværkssanering og -segmentering, og sikre, at angribere ikke vil være i stand til at bevæge sig sideværts inde i netværket og implementere deres malware til alle edge-enheder."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
