Két veszélyes malware eszköz, amelyek az ipari vezérlőrendszereket (ICS) és az operációs technológiai (OT) környezeteket célozzák Európában, az ukrajnai háború kiberhullásának legújabb megnyilvánulása.
Az egyik eszköz, a „Kapeka”, úgy tűnik, Sandwormhoz, egy termékeny orosz állami támogatású fenyegetési szereplőhöz köthető, akit a Google Mandiant biztonsági csoportja ezen a héten az ország vezetőjének minősített. elsődleges kibertámadási egység Ukrajnában. A finn székhelyű WithSecure biztonsági kutatói észrevették az észt logisztikai vállalat és más kelet-európai célpontok elleni 2023-as támadások hátsó ajtóját, és aktív és folyamatos fenyegetésként érzékelték.
Pusztító rosszindulatú programok
A másik rosszindulatú program – kissé színesen szinkronizálva Fuxnet — egy olyan eszköz, amelyet az ukrán kormány által támogatott Blackjack fenyegetőcsoport valószínűleg használt egy közelmúltbeli, pusztító támadás során a Moskollector ellen, egy olyan vállalat ellen, amely nagy érzékelőhálózatot tart fenn Moszkva szennyvízrendszerének megfigyelésére. A támadók a Fuxnet segítségével sikeresen blokkolták a állításuk szerint összesen 1,700 szenzor-átjárót a Moskollector hálózatán, és a folyamat során mintegy 87,000 XNUMX érzékelőt letiltottak ezekhez az átjárókhoz.
"A Fuxnet ICS rosszindulatú program fő funkciója az volt, hogy megsértette és blokkolta a hozzáférést az érzékelők átjáróihoz, és megpróbálta elrontani a fizikai érzékelőket is" - mondja Sharon Brizinov, a Blackjack támadását nemrégiben vizsgáló Claroty ICS biztonsági cég sebezhetőségi kutatási igazgatója. A támadás eredményeként a Moskollectornak valószínűleg fizikailag el kell érnie a több ezer érintett eszköz mindegyikét, és egyenként ki kell cserélnie őket, mondja Brizinov. „Ahhoz, hogy a [Moskollector] képes legyen felügyelni és működtetni a szennyvízrendszert Moszkva-szerte, be kell szerezniük és vissza kell állítaniuk a teljes rendszert.”
A Kapeka és a Fuxnet példák az Oroszország és Ukrajna közötti konfliktus szélesebb körű kiberhatásaira. A két ország közötti háború 2022 februári kitörése óta – és még jóval azelőtt is – mindkét oldal hackercsoportjai egy sor kártevő eszközt fejlesztettek ki és használtak egymás ellen. Számos eszköz, beleértve az ablaktörlőket és a zsarolóprogramokat, romboló vagy bomlasztó jellegűek voltak és főként a kritikus infrastruktúrát, az ICS-t és az OT környezeteket célozta meg mindkét országban.
De több alkalommal is történtek támadások a két ország közötti hosszan tartó konfliktusból származó eszközökkel az áldozatok szélesebb körét érintette. A legfigyelemreméltóbb példa továbbra is a NotPetya, egy rosszindulatú program, amelyet a Sandworm csoport eredetileg Ukrajnában fejlesztett ki, de amely 2017-ben több tízezer rendszert érintett világszerte. 2023-ban a Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) és a Amerikai Nemzetbiztonsági Ügynökség (NSA) figyelmeztetett egy „Infamous Chisel” névre keresztelt Sandworm kártevő eszközkészletre, amely mindenhol fenyegetést jelent az Android-felhasználók számára.
Kapeka: Homokféreg helyettesítője a GreyEnergy-nek?
A WithSecure szerint a Kapeka egy újszerű hátsó ajtó, amelyet a támadók korai stádiumú eszköztárként használhatnak, és lehetővé teszik az áldozatrendszeren a hosszú távú fennmaradást. A rosszindulatú program tartalmaz egy dropper komponenst, amely ledobja a hátsó ajtót a célgépen, majd eltávolítja magát. „A Kapeka minden alapvető funkciót támogat, amelyek lehetővé teszik, hogy rugalmas hátsó ajtóként működjön az áldozat birtokán” – mondja Mohammad Kazem Hassan Nejad, a WithSecure kutatója.
Lehetőségei közé tartozik a fájlok olvasása és írása lemezről és lemezre, shell-parancsok végrehajtása, valamint rosszindulatú rakományok és folyamatok elindítása, beleértve a földön kívüli binárisokat is. "A kezdeti hozzáférés megszerzése után a Kapeka kezelője a hátsó ajtót használhatja számos feladat végrehajtására az áldozat gépén, például felfedezés, további rosszindulatú programok telepítése és a támadás következő szakaszainak lebonyolítása" - mondja Nejad.
Nejad szerint a WithSecure bizonyítékokat talált, amelyek a Sandworm és a csoport kapcsolatára utalnak GreyEnergy rosszindulatú program 2018-ban Ukrajna villamosenergia-hálózata elleni támadásokban használták. „Úgy gondoljuk, hogy a Kapeka helyettesítheti a GreyEnergyt a Sandworm arzenáljában” – jegyzi meg Nejad. Bár a két rosszindulatú programminta nem ugyanabból a forráskódból származik, van néhány elvi átfedés a Kapeka és a GreyEnergy között, akárcsak a GreyEnergy és elődje között, BlackEnergy. „Ez azt jelzi, hogy a Sandworm idővel új eszközökkel bővíthette arzenálját, hogy alkalmazkodjanak a változó fenyegetési környezethez” – mondja Nejad.
Fuxnet: Eszköz a megzavaráshoz és a pusztításhoz
Eközben a Clarity's Brizinov a Fuxnetet ICS kártevőként azonosítja, amelynek célja, hogy kárt okozzon bizonyos orosz gyártmányú érzékelőberendezésekben. A rosszindulatú program olyan átjárókon való telepítésre szolgál, amelyek figyelik és adatokat gyűjtenek a fizikai érzékelőktől tűzriasztásokhoz, gázfigyeléshez, világításhoz és hasonló felhasználási esetekhez.
„Miután a rosszindulatú program telepítésre került, a NAND chip felülírásával és a külső távoli hozzáférési képességek letiltásával blokkolja az átjárókat, így megakadályozza, hogy a kezelők távolról irányítsák az eszközöket” – mondja Brizinov.
Ezután egy külön modul megpróbálja elárasztani magukat a fizikai érzékelőket haszontalan M-Bus forgalommal. Az M-Bus egy európai kommunikációs protokoll gáz-, víz-, villany- és egyéb mérőórák távoli leolvasására. "A Blackjack Fuxnet ICS kártevőjének egyik fő célja, hogy megtámadják és megsemmisítsék magukat a fizikai érzékelőket, miután hozzáfértek az érzékelő átjárójához" - mondja Brizinov. Ennek érdekében a Blackjack úgy döntött, hogy az érzékelőket korlátlan számú M-Bus csomag elküldésével összezavarja. „Lényegében a BlackJack abban reménykedett, hogy az érzékelők véletlenszerű M-Bus csomagjainak vég nélküli küldésével a csomagok túlterhelik őket, és potenciálisan olyan sebezhetőséget váltanak ki, amely megrongálja az érzékelőket, és működésképtelen állapotba hozza őket” – mondja.
Az ilyen támadásokkal szemben a szervezetek számára a legfontosabb, hogy odafigyeljenek a biztonsági alapokra. A Blackjack például úgy tűnik, hogy az eszközök gyenge hitelesítő adataival visszaélve root hozzáférést kapott a célérzékelő-átjárókhoz. A támadás rávilágít arra, hogy miért fontos betartani a jó jelszópolitikát, biztosítva, hogy az eszközök ne ugyanazokat a hitelesítési adatokat használják, és ne használják az alapértelmezett hitelesítő adatokat. „Az is fontos, hogy a hálózat megfelelő fertőtlenítését és szegmentálását alkalmazzuk, biztosítva, hogy a támadók ne tudjanak oldalirányban mozogni a hálózaton belül, és rosszindulatú programjaikat minden szélső eszközre telepíteni ne tudják.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine