שני כלים מסוכנים של תוכנות זדוניות המכוונות למערכות בקרה תעשייתיות (ICS) ולסביבות טכנולוגיות הפעלה (OT) באירופה הם הביטויים האחרונים של נשורת הסייבר מהמלחמה באוקראינה.
אחד הכלים, שכונה "קאפקה," נראה קשור ל-Sandworm, שחקן איום פורה הנתמך על ידי מדינה רוסית, שקבוצת האבטחה מנדיאנט של גוגל תיארה השבוע כארגון של המדינה. יחידת התקפות הסייבר העיקרית באוקראינה. חוקרי אבטחה מ-WithSecure בפינלנד הבחינו בדלת האחורית שהופיעה ב-2023 במתקפות נגד חברת לוגיסטיקה אסטונית ומטרות אחרות במזרח אירופה ותפשו אותה כאיום פעיל ומתמשך.
תוכנה זדונית הרסנית
התוכנה הזדונית האחרת - מדובב צבעוני משהו פוקסנט - הוא כלי שקבוצת האיומים בלאק ג'ק, הנתמכת על ידי ממשלת אוקראינה, השתמשה בו ככל הנראה במתקפה הרסנית לאחרונה נגד מוסקולקטור, חברה שמתחזקת רשת גדולה של חיישנים לניטור מערכת הביוב של מוסקבה. התוקפים השתמשו ב-Fuxnet כדי לעצב בהצלחה את מה שלטענתם הוא בסך הכל 1,700 שערי חיישנים ברשת של מוסקולקטור ותוך כדי כך השביתו כ-87,000 חיישנים המחוברים לשערים אלה.
"הפונקציונליות העיקרית של התוכנה הזדונית Fuxnet ICS הייתה השחתה וחסימת גישה לשערי חיישנים, וניסיון להשחית גם את החיישנים הפיזיים", אומרת שרון בריזינוב, מנהלת מחקר פגיעות בחברת האבטחה ICS Claroty, שחקרה לאחרונה את התקפת בלאק ג'ק. כתוצאה מהתקיפה, מוסקולקטור כנראה יצטרך להגיע פיזית לכל אחד מאלפי המכשירים שנפגעו ולהחליף אותם בנפרד, אומר בריזינוב. "כדי לשחזר את היכולת [של מוסקולקטור] לנטר ולהפעיל את מערכת הביוב בכל רחבי מוסקבה, הם יצטרכו לרכוש ולאפס את המערכת כולה".
קאפקה ופוקסנט הן דוגמאות לנשורת הסייבר הרחבה יותר מהסכסוך בין רוסיה לאוקראינה. מאז שהמלחמה בין שתי המדינות החלה בפברואר 2022 - ואפילו הרבה לפני כן - פיתחו קבוצות האקרים משני הצדדים והשתמשו במגוון כלים של תוכנות זדוניות זו נגד זו. רבים מהכלים, כולל מגבים ותוכנות כופר, היו הרסניים או משבשים באופיים ובעיקר ממוקד לתשתית קריטית, ICS, וסביבות OT בשתי המדינות.
אבל בכמה הזדמנויות, היו התקפות הכוללות כלים שנוצרו מהסכסוך הממושך בין שתי המדינות השפיע על טווח רחב יותר של קורבנות. הדוגמה הבולטת ביותר נותרה NotPetya, כלי תוכנה זדונית שקבוצת Sandworm פיתחה במקור לשימוש באוקראינה, אך בסופו של דבר השפיעה על עשרות אלפי מערכות ברחבי העולם בשנת 2017. בשנת 2023, המרכז הלאומי לאבטחת סייבר בבריטניה (NCSC) וה הסוכנות לביטחון לאומי אמריקאית (NSA) הזהירה מפני ערכת כלים תוכנות זדוניות של תולעי חול המכונה "אזמל לשמצה" המהווה איום על משתמשי אנדרואיד בכל מקום.
Kapeka: תחליף לתולעת חול עבור GreyEnergy?
לפי WithSecure, Kapeka היא דלת אחורית חדשה שתוקפים יכולים להשתמש בה כערכת כלים בשלב מוקדם וכדי לאפשר התמדה ארוכת טווח במערכת הקורבן. התוכנה הזדונית כוללת רכיב טפטפת להורדת הדלת האחורית על מכונת מטרה ולאחר מכן הסרת עצמה. "Kapeka תומך בכל הפונקציות הבסיסיות המאפשרות לו לפעול כדלת אחורית גמישה בעיזבונו של הקורבן", אומר מוחמד קאזם חסן נג'אד, חוקר ב-WithSecure.
היכולות שלו כוללות קריאה וכתיבה של קבצים מהדיסק ואליו, ביצוע פקודות מעטפת והשקת מטענים ותהליכים זדוניים, כולל קבצים בינאריים חיים מחוץ לשטח. "לאחר השגת גישה ראשונית, המפעיל של Kapeka יכול להשתמש בדלת האחורית כדי לבצע מגוון רחב של משימות על המחשב של הקורבן, כגון גילוי, פריסת תוכנות זדוניות נוספות וביצוע השלבים הבאים של ההתקפה שלהם", אומר Nejad.
לדברי נג'אד, WithSecure הצליח למצוא ראיות המצביעות על קשר ל-Sandworm ושל הקבוצה תוכנת זדונית GreyEnergy השתמשו בהתקפות על רשת החשמל של אוקראינה ב-2018. "אנו מאמינים ש-Kapeka עשוי להיות תחליף ל-GreyEnergy בארסנל של תולעי חול", מציין נג'אד. למרות ששתי הדגימות של תוכנות זדוניות אינן מקורן מאותו קוד מקור, יש כמה חפיפות מושגיות בין Kapeka ל-GreyEnergy, בדיוק כפי שהיו כמה חפיפות בין GreyEnergy וקודמתה, BlackEnergy. "זה מצביע על כך ש-Sandworm שידרגו את הארסנל שלהם עם כלים חדשים לאורך זמן כדי להסתגל לנוף האיומים המשתנה", אומר נג'אד.
Fuxnet: כלי לשבש ולהרוס
בינתיים, Brizinov של Clarity מזהה את Fuxnet כתוכנה זדונית ICS שנועדה לגרום נזק לציוד חיישנים ספציפי מתוצרת רוסיה. התוכנה הזדונית מיועדת לפריסה בשערים המנטרים ואוספים נתונים מחיישנים פיזיים עבור אזעקות אש, ניטור גז, תאורה ומקרי שימוש דומים.
"לאחר פריסת התוכנה הזדונית, היא תחמם את השערים על ידי החלפת שבב ה-NAND שלו והשבתת יכולות גישה מרחוק חיצונית, וימנע ממפעילים לשלוט מרחוק על המכשירים", אומר בריזינוב.
לאחר מכן מודול נפרד מנסה להציף את החיישנים הפיזיים עצמם בתעבורת M-Bus חסרת תועלת. M-Bus הוא פרוטוקול תקשורת אירופאי לקריאה מרחוק של מדי גז, מים, חשמל ואחרים. "אחת המטרות העיקריות של תוכנת זדונית Fuxnet ICS של Blackjack [היא] לתקוף ולהרוס את החיישנים הפיזיים עצמם לאחר קבלת גישה לשער החיישנים", אומר בריזינוב. לשם כך, בלאק ג'ק בחר לטשטש את החיישנים על ידי שליחתם מספר בלתי מוגבל של מנות M-Bus. "בעצם, בלק ג'ק קיווה שעל ידי שליחת אינסופית של חבילות M-Bus אקראית של החיישן, החבילות יכריעו אותן ועלולות להפעיל פגיעות שתשחית את החיישנים ותציב אותם במצב בלתי ניתן לפעולה", הוא אומר.
המוצא העיקרי של ארגונים מהתקפות כאלה הוא לשים לב ליסודות האבטחה. נראה שבלאק ג'ק, למשל, השיג גישת שורש לשערי-חיישנים מטרה על ידי שימוש לרעה באישורים חלשים במכשירים. המתקפה מדגישה מדוע "חשוב לשמור על מדיניות סיסמאות טובה, לוודא שמכשירים לא חולקים את אותם אישורים או משתמשים בברירת מחדל", הוא אומר. "חשוב גם לפרוס חיטוי ופילוח טובים של הרשת, לוודא שהתוקפים לא יוכלו לנוע לרוחב בתוך הרשת, ולפרוס את התוכנה הזדונית שלהם לכל מכשירי הקצה."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
