הזיהום משתמש בגרסת תוכנה זדונית של Lemon_Duck PowerShell כדי לנצל פגיעויות במכשירים משובצים באתרי ייצור.
קמפיין תוכנות זדוניות חדש שנבנה כדי לנצל פגמים במכשירים מחוברים מכוון ליצרנים ברחבי העולם ומשפיע על מוצרים מדפסות חכמות וכלה בציוד תפעולי כבד.
חוקרים במעבדות TrapX ראו לראשונה התקפה זו שמכוונת ליצרנים אמריקה הלטינית באוקטובר 2019. מאז היא המשיכה להתרחב, עם שיא בחודש דצמבר וצמיחה מתמשכת השנה באזורים כולל צפון אמריקה, אפריקה והמזרח התיכון, אומר TrapX המנכ"ל אורי באך.
"בהתחשב באופי ההתקפה, הגיוני להפוך אותה לגלובלית", מסביר באך. "התוקף רוצה לכסות כמה שיותר נדל"ן."
קמפיין התקפה זה משתמש בהורדת התפשטות עצמית שמריצה סקריפטים זדוניים כחלק ממשפחת התוכנות הזדוניות Lemon_Duck PowerShell. האיום מנצל נקודות תורפה במכשירים משובצים של חלונות 7 וממקד ספציפית לאתרי ייצור, בהם מכשירים נגועים עלולים להיפגע בתפקוד ולהוות סיכונים לבטיחות העובדים, הפרעה בשרשרת האספקה ואובדן נתונים.
התוקפים משתמשים בכמה מתודולוגיות כדי לפרוץ לאתרי ייצור, אומר באך, אך בסופו של דבר הכניסה הראשונית שלהם מתרחשת באמצעות שני ווקטורי התקפה עיקריים. הראשון הוא דוא"ל דיוג קלאסי; אם הצליח, פורץ יכול להשתמש במגוון כלים - פרוטוקולי פגיעות, סיסמאות חלשות, מעבר-חשיש ואחרים - כדי להתפשט בכל ארגון היעד.
השנייה היא זיהום בשרשרת האספקה. תוקף עשוי להתפשר על חברה בה מייצרים מכשירים כך שיגיעו ליעדם הסופי שזוהו מראש. ברגע שהם מחוברים לרשת יעד, מכשירים זדוניים אלה יכולים להפיץ תוכנות זדוניות לאחרים ברשת. התקפות שרשרת האספקה הללו מהוות 80% מהזיהומים בקמפיין מסוים זה, מציין באך. ישנם מוצרים רבים להגנה מפני דוא"ל דיוג, הוא מוסיף, אך פחות קיימים כדי להילחם באיומי שרשרת האספקה.
בהתקפות אלה, ורבים מהקמפיינים הממוקדים ברשת האינטרנט של הדברים, היריבים אינם מודאגים מסוג ההתקן שהם מדביקים. "התוקפים הם כמובן אגנוסטיים מהפונקציה התפעולית של המכשיר", הוא אומר בבחירת יעדים. "מה שמעניין אותם זה המכשיר הזה פועל." עבור מכשירים רבים מדובר ב- Windows 7, מערכת הפעלה זו נעצר קבלת תמיכה ביטחונית בתחילת השנה.
דוגמה למכשיר אחד כזה הוא סורק / מדפסת DesignJet SD Pro שנדבק בקמפיין זה ושימש נקודת כניסה לרשת יעד אחת, החוקרים מדווחים. הוא משמש להדפסת רישומי הנדסה טכניים ומחזיק נתונים רגישים למוצרי היצרן; הוא גם הציג משובץ של Windows 7 והייתה לו גישה לאינטרנט ופרויקטים שונים.
בהתקפה נפרדת בשרשרת האספקה, התוקפים הדביקו רכב מונחה אוטומטי (AGV), פריט ציוד המשמש להובלת חומרים או לביצוע משימות בסביבות תעשייתיות. רכיבי AGV פועלים על סוללות או מנועים חשמליים ועלולים לאיים על בטיחות העובדים באזור עבודה. אירוע זה גרם לבלבול בקו הייצור, ועלול להזיק למוצרים שמרכיבים AGV. רשת היעד הכילה שלושה רכיבי AGV אחרים, שכולם הוגדרו מראש עם תוכנה זדונית.
ייצור תוכנות זדוניות
לימון_דוק פותח כקריפטומינר, אומר באך. בתרחיש זה, התוכנה הזדונית הותאמה אישית לביצוע יכולות מעבר לכרייה עבור cryptocurrency במחשב יעד.
וריאנט מסוים זה סורק רשת אחר יעדים פוטנציאליים, כולל מכשירים עם שירותי SMB (445) או MSSQL (1433) פתוחים. כאשר הוא מוצא אחד, התוכנה הזדונית מפעילה מספר חוטים עם מספר פונקציות. תחילה הוא מנסה לאכוף את השירותים עם שמות משתמש וסיסמאות כדי לקבל גישה כך שיוכל להוריד ולהפיץ את התוכנה הזדונית באמצעות SMB או MSSQL. פונקציה נוספת שלה היא הפעלת invoke-mimkatz באמצעות מודול ייבוא כדי להשיג hash של NTLM ולקבל גישה, אמצעי נוסף להורדה והפצה של תוכנות זדוניות באמצעות SMB. ברגע שמתקבלת גישה ל- SMB, הוא משתמש בכלי להעתקת עצמו למכשיר היעד ולהפעלתו כיעד.
ייתכן שחלק מהפונקציות הללו לא יעבדו, וזו הסיבה של- Lemon_Duck מגיעות עם תוכניות גיבוי. אם זה נכשל באמצעות כוח ברוט או חיפושי NTLM, הוא ינסה להשתמש בפגיעות של EternalBlue SMB כדי להשיג גישה למערכת ולהפעיל כשירות ביעד. Lemon_Duck נמשכת באמצעות משימות מתוזמנות, המריצות סקריפטים של PowerShell כדי להוריד עוד את סקריפטים של Lemon_Duck PowerShell.
התקפה זו מציבה אתגר בפני היצרנים מכיוון שלרוב מכשירים אינם טלאים לחלוטין ויכולים להיות קשים לנגב לניקוי, אומר באך. יתר על כן, הם יכולים להיות מושפעים מחדש על ידי מכונות אחרות ברשת לאחר הסרת התוכנה הזדונית מכיוון שאופיה של Lemon_Duck הוא להתפשט במהירות. תיקון קשה יותר ברשת טכנולוגית תפעולית מאשר בסביבת IT מסורתית.
סיום התמיכה של Windows 7 מהווה אתגר עבור היצרנים מכיוון שקשה לעדכן ציוד ויקר להחלפה. באך מייעץ לארגונים להתחיל במיפוי המוצרים שיש להם בסביבתם ולעבוד עם כל ספק בנפרד כדי לקבוע מה צריך להחליף ומה צריך לשדרג למערכת הפעלה חדשה.
תוכן קשור:
קלי שרידן היא עורכת הצוות ב- Dark Reading, שם היא מתמקדת בחדשות וניתוח אבטחת סייבר. היא עיתונאית טכנולוגיה עסקית שדיווחה בעבר ב- InformationWeek, שם כיסתה את מיקרוסופט, וביטוח וטכנולוגיה, שם סיקרה כספים ... צפה בביוגרפיה מלאה
תובנות נוספות
