Platón adatintelligencia.
Vertical Search & Ai.

Kiberbiztonság

Veszélyes új ICS-rosszindulatú programok az oroszországi és ukrajnai szervezeteket célozzák

Platón újra közzététele
Platón újra közzététele

Találka:

Megtekintések: 0

Két veszélyes malware eszköz, amelyek az ipari vezérlőrendszereket (ICS) és az operációs technológiai (OT) környezeteket célozzák Európában, az ukrajnai háború kiberhullásának legújabb megnyilvánulása.

Az egyik eszköz, a „Kapeka”, úgy tűnik, Sandwormhoz, egy termékeny orosz állami támogatású fenyegetési szereplőhöz köthető, akit a Google Mandiant biztonsági csoportja ezen a héten az ország vezetőjének minősített. elsődleges kibertámadási egység Ukrajnában. A finn székhelyű WithSecure biztonsági kutatói észrevették az észt logisztikai vállalat és más kelet-európai célpontok elleni 2023-as támadások hátsó ajtóját, és aktív és folyamatos fenyegetésként érzékelték.

Pusztító rosszindulatú programok

A másik rosszindulatú program – kissé színesen szinkronizálva Fuxnet — egy olyan eszköz, amelyet az ukrán kormány által támogatott Blackjack fenyegetőcsoport valószínűleg használt egy közelmúltbeli, pusztító támadás során a Moskollector ellen, egy olyan vállalat ellen, amely nagy érzékelőhálózatot tart fenn Moszkva szennyvízrendszerének megfigyelésére. A támadók a Fuxnet segítségével sikeresen blokkolták a állításuk szerint összesen 1,700 szenzor-átjárót a Moskollector hálózatán, és a folyamat során mintegy 87,000 XNUMX érzékelőt letiltottak ezekhez az átjárókhoz.

"A Fuxnet ICS rosszindulatú program fő funkciója az volt, hogy megsértette és blokkolta a hozzáférést az érzékelők átjáróihoz, és megpróbálta elrontani a fizikai érzékelőket is" - mondja Sharon Brizinov, a Blackjack támadását nemrégiben vizsgáló Claroty ICS biztonsági cég sebezhetőségi kutatási igazgatója. A támadás eredményeként a Moskollectornak valószínűleg fizikailag el kell érnie a több ezer érintett eszköz mindegyikét, és egyenként ki kell cserélnie őket, mondja Brizinov. „Ahhoz, hogy a [Moskollector] képes legyen felügyelni és működtetni a szennyvízrendszert Moszkva-szerte, be kell szerezniük és vissza kell állítaniuk a teljes rendszert.”

A Kapeka és a Fuxnet példák az Oroszország és Ukrajna közötti konfliktus szélesebb körű kiberhatásaira. A két ország közötti háború 2022 februári kitörése óta – és még jóval azelőtt is – mindkét oldal hackercsoportjai egy sor kártevő eszközt fejlesztettek ki és használtak egymás ellen. Számos eszköz, beleértve az ablaktörlőket és a zsarolóprogramokat, romboló vagy bomlasztó jellegűek voltak és főként a kritikus infrastruktúrát, az ICS-t és az OT környezeteket célozta meg mindkét országban.

De több alkalommal is történtek támadások a két ország közötti hosszan tartó konfliktusból származó eszközökkel az áldozatok szélesebb körét érintette. A legfigyelemreméltóbb példa továbbra is a NotPetya, egy rosszindulatú program, amelyet a Sandworm csoport eredetileg Ukrajnában fejlesztett ki, de amely 2017-ben több tízezer rendszert érintett világszerte. 2023-ban a Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) és a Amerikai Nemzetbiztonsági Ügynökség (NSA) figyelmeztetett egy „Infamous Chisel” névre keresztelt Sandworm kártevő eszközkészletre, amely mindenhol fenyegetést jelent az Android-felhasználók számára.

Kapeka: Homokféreg helyettesítője a GreyEnergy-nek?

A WithSecure szerint a Kapeka egy újszerű hátsó ajtó, amelyet a támadók korai stádiumú eszköztárként használhatnak, és lehetővé teszik az áldozatrendszeren a hosszú távú fennmaradást. A rosszindulatú program tartalmaz egy dropper komponenst, amely ledobja a hátsó ajtót a célgépen, majd eltávolítja magát. „A Kapeka minden alapvető funkciót támogat, amelyek lehetővé teszik, hogy rugalmas hátsó ajtóként működjön az áldozat birtokán” – mondja Mohammad Kazem Hassan Nejad, a WithSecure kutatója.

Lehetőségei közé tartozik a fájlok olvasása és írása lemezről és lemezre, shell-parancsok végrehajtása, valamint rosszindulatú rakományok és folyamatok elindítása, beleértve a földön kívüli binárisokat is. "A kezdeti hozzáférés megszerzése után a Kapeka kezelője a hátsó ajtót használhatja számos feladat végrehajtására az áldozat gépén, például felfedezés, további rosszindulatú programok telepítése és a támadás következő szakaszainak lebonyolítása" - mondja Nejad.

Nejad szerint a WithSecure bizonyítékokat talált, amelyek a Sandworm és a csoport kapcsolatára utalnak GreyEnergy rosszindulatú program 2018-ban Ukrajna villamosenergia-hálózata elleni támadásokban használták. „Úgy gondoljuk, hogy a Kapeka helyettesítheti a GreyEnergyt a Sandworm arzenáljában” – jegyzi meg Nejad. Bár a két rosszindulatú programminta nem ugyanabból a forráskódból származik, van néhány elvi átfedés a Kapeka és a GreyEnergy között, akárcsak a GreyEnergy és elődje között, BlackEnergy. „Ez azt jelzi, hogy a Sandworm idővel új eszközökkel bővíthette arzenálját, hogy alkalmazkodjanak a változó fenyegetési környezethez” – mondja Nejad.

Fuxnet: Eszköz a megzavaráshoz és a pusztításhoz

Eközben a Clarity's Brizinov a Fuxnetet ICS kártevőként azonosítja, amelynek célja, hogy kárt okozzon bizonyos orosz gyártmányú érzékelőberendezésekben. A rosszindulatú program olyan átjárókon való telepítésre szolgál, amelyek figyelik és adatokat gyűjtenek a fizikai érzékelőktől tűzriasztásokhoz, gázfigyeléshez, világításhoz és hasonló felhasználási esetekhez.

„Miután a rosszindulatú program telepítésre került, a NAND chip felülírásával és a külső távoli hozzáférési képességek letiltásával blokkolja az átjárókat, így megakadályozza, hogy a kezelők távolról irányítsák az eszközöket” – mondja Brizinov.  

Ezután egy külön modul megpróbálja elárasztani magukat a fizikai érzékelőket haszontalan M-Bus forgalommal. Az M-Bus egy európai kommunikációs protokoll gáz-, víz-, villany- és egyéb mérőórák távoli leolvasására. "A Blackjack Fuxnet ICS kártevőjének egyik fő célja, hogy megtámadják és megsemmisítsék magukat a fizikai érzékelőket, miután hozzáfértek az érzékelő átjárójához" - mondja Brizinov. Ennek érdekében a Blackjack úgy döntött, hogy az érzékelőket korlátlan számú M-Bus csomag elküldésével összezavarja. „Lényegében a BlackJack abban reménykedett, hogy az érzékelők véletlenszerű M-Bus csomagjainak vég nélküli küldésével a csomagok túlterhelik őket, és potenciálisan olyan sebezhetőséget váltanak ki, amely megrongálja az érzékelőket, és működésképtelen állapotba hozza őket” – mondja.

Az ilyen támadásokkal szemben a szervezetek számára a legfontosabb, hogy odafigyeljenek a biztonsági alapokra. A Blackjack például úgy tűnik, hogy az eszközök gyenge hitelesítő adataival visszaélve root hozzáférést kapott a célérzékelő-átjárókhoz. A támadás rávilágít arra, hogy miért fontos betartani a jó jelszópolitikát, biztosítva, hogy az eszközök ne ugyanazokat a hitelesítési adatokat használják, és ne használják az alapértelmezett hitelesítő adatokat. „Az is fontos, hogy a hálózat megfelelő fertőtlenítését és szegmentálását alkalmazzuk, biztosítva, hogy a támadók ne tudjanak oldalirányban mozogni a hálózaton belül, és rosszindulatú programjaikat minden szélső eszközre telepíteni ne tudják.”

spot_img

Legújabb intelligencia

spot_img

Copyright @ 2024 Plato Technologies Inc.

Beszélj velünk

Szia! Miben segíthetek?