Plato data-intelligentie.
Verticaal zoeken & Ai.

Cyber ​​Security

Gevaarlijke nieuwe ICS-malware richt zich op organisaties in Rusland en Oekraïne

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 0

Twee gevaarlijke malwaretools gericht op industriële controlesystemen (ICS) en besturingstechnologie (OT)-omgevingen in Europa zijn de nieuwste manifestaties van de cybereffecten van de oorlog in Oekraïne.

Een van de tools, genaamd “Kapeka”, lijkt verband te houden met Sandworm, een productieve, door de Russische staat gesteunde dreigingsacteur die de Mandiant-beveiligingsgroep van Google deze week omschreef als de grootste bedreiging voor het land. belangrijkste cyberaanvaleenheid in Oekraïne. Beveiligingsonderzoekers van het in Finland gevestigde WithSecure hebben de achterdeur ontdekt die in 2023 aanwezig was bij aanvallen op een Ests logistiek bedrijf en andere doelwitten in Oost-Europa en beschouwen deze als een actieve en voortdurende bedreiging.

Destructieve malware

De andere malware – enigszins kleurrijk nagesynchroniseerd Fuxnet – is een instrument dat de door de Oekraïense overheid gesteunde dreigingsgroep Blackjack waarschijnlijk heeft gebruikt bij een recente, destructieve aanval op Moskollector, een bedrijf dat een groot netwerk van sensoren onderhoudt voor het monitoren van het rioleringssysteem in Moskou. De aanvallers gebruikten Fuxnet om met succes in totaal 1,700 sensorgateways op het Moskollector-netwerk te blokkeren en schakelden daarbij zo'n 87,000 sensoren uit die op deze gateways waren aangesloten.

“De belangrijkste functionaliteit van de Fuxnet ICS-malware was het corrumperen en blokkeren van de toegang tot sensorgateways, en het proberen ook de fysieke sensoren te corrumperen”, zegt Sharon Brizinov, directeur kwetsbaarheidsonderzoek bij ICS-beveiligingsbedrijf Claroty, dat onlangs de aanval van Blackjack onderzocht. Als gevolg van de aanval zal Moskollector waarschijnlijk elk van de duizenden getroffen apparaten fysiek moeten bereiken en ze afzonderlijk moeten vervangen, zegt Brizinov. “Om het vermogen van [Moskollector] om het rioleringssysteem rondom Moskou te monitoren en te exploiteren te herstellen, zullen ze het hele systeem moeten aanschaffen en resetten.”

Kapeka en Fuxnet zijn voorbeelden van de bredere cybereffecten van het conflict tussen Rusland en Oekraïne. Sinds de oorlog tussen de twee landen in februari 2022 begon – en zelfs lang daarvoor – ontwikkelden en gebruikten hackergroepen van beide kanten een reeks malwaretools tegen elkaar. Veel van de tools, waaronder ruitenwissers en ransomware, destructief of ontwrichtend van aard zijn geweest en richtte zich vooral op kritieke infrastructuur-, ICS- en OT-omgevingen in beide landen.

Maar bij verschillende gelegenheden zijn er aanvallen uitgevoerd waarbij gebruik werd gemaakt van instrumenten die voortkwamen uit het al lang bestaande conflict tussen de twee landen trof een bredere groep slachtoffers. Het meest opvallende voorbeeld blijft NotPetya, een malwaretool die de Sandworm-groep oorspronkelijk ontwikkelde voor gebruik in Oekraïne, maar die in 2017 uiteindelijk tienduizenden systemen wereldwijd trof. Het Britse National Cyber ​​Security Center (NCSC) en de US National Security Agency (NSA) waarschuwde voor een Sandworm-malwaretoolset genaamd “Infamous Chisel” die een bedreiging vormt voor Android-gebruikers overal ter wereld.

Kapeka: een zandwormvervanger voor GreyEnergy?

Volgens WithSecure is Kapeka een nieuwe achterdeur die aanvallers kunnen gebruiken als toolkit in een vroeg stadium en om langdurige persistentie op een slachtoffersysteem mogelijk te maken. De malware bevat een dropper-component waarmee de achterdeur op een doelmachine kan worden geplaatst en vervolgens zichzelf kan worden verwijderd. “Kapeka ondersteunt alle basisfunctionaliteiten waardoor het kan functioneren als een flexibele achterdeur in de nalatenschap van het slachtoffer”, zegt Mohammad Kazem Hassan Nejad, onderzoeker bij WithSecure.

De mogelijkheden omvatten het lezen en schrijven van bestanden van en naar schijf, het uitvoeren van shell-opdrachten en het lanceren van kwaadaardige ladingen en processen, waaronder binaire bestanden die van het land leven. “Nadat Kapeka toegang heeft gekregen, kan de operator van Kapeka de achterdeur gebruiken om een ​​breed scala aan taken uit te voeren op de machine van het slachtoffer, zoals detectie, het inzetten van extra malware en het organiseren van de volgende fasen van hun aanval”, zegt Nejad.

Volgens Nejad kon WithSecure bewijs vinden dat een verband met Sandworm en die van de groep suggereerde GreyEnergy-malware gebruikt bij aanvallen op het Oekraïense elektriciteitsnet in 2018. “Wij geloven dat Kapeka een vervanging kan zijn voor GreyEnergy in het arsenaal van Sandworm”, merkt Nejad op. Hoewel de twee malwaremonsters niet afkomstig zijn uit dezelfde broncode, zijn er enkele conceptuele overlappingen tussen Kapeka en GreyEnergy, net zoals er enkele overlappingen waren tussen GreyEnergy en zijn voorganger. BlackEnergy. “Dit geeft aan dat Sandworm zijn arsenaal in de loop van de tijd mogelijk heeft geüpgraded met nieuwe tools om zich aan te passen aan het veranderende dreigingslandschap”, zegt Nejad.

Fuxnet: een hulpmiddel om te ontwrichten en te vernietigen

Ondertussen identificeert Brizinov van Clarity Fuxnet als ICS-malware die bedoeld is om schade te veroorzaken aan specifieke sensorapparatuur van Russische makelij. De malware is bedoeld voor implementatie op gateways die gegevens van fysieke sensoren monitoren en verzamelen voor brandalarmen, gasmonitoring, verlichting en soortgelijke gebruiksscenario's.

“Zodra de malware is ingezet, zal deze de gateways blokkeren door de NAND-chip te overschrijven en externe toegang op afstand uit te schakelen, waardoor operators de apparaten niet meer op afstand kunnen bedienen”, zegt Brizinov.  

Een aparte module probeert vervolgens de fysieke sensoren zelf te overspoelen met nutteloos M-Bus-verkeer. M-Bus is een Europees communicatieprotocol voor het op afstand uitlezen van gas-, water-, elektriciteits- en andere meters. "Een van de belangrijkste doelen van de Fuxnet ICS-malware van Blackjack is het aanvallen en vernietigen van de fysieke sensoren zelf nadat ze toegang hebben gekregen tot de sensorgateway", zegt Brizinov. Om dit te doen, koos Blackjack ervoor om de sensoren te fuzzen door ze een onbeperkt aantal M-Bus-pakketten te sturen. “In wezen hoopte BlackJack dat door het eindeloos sturen van willekeurige M-Bus-pakketten naar de sensor, de pakketten hen zouden overweldigen en mogelijk een kwetsbaarheid zouden veroorzaken die de sensoren zou beschadigen en ze in een onbruikbare staat zou brengen”, zegt hij.

Het belangrijkste wat organisaties van dergelijke aanvallen kunnen leren, is aandacht besteden aan de basisprincipes van beveiliging. Blackjack lijkt bijvoorbeeld root-toegang te hebben verkregen tot doelsensorgateways door misbruik te maken van zwakke inloggegevens op de apparaten. De aanval benadrukt waarom het “belangrijk is om een ​​goed wachtwoordbeleid te handhaven, en ervoor te zorgen dat apparaten niet dezelfde inloggegevens delen of standaardgegevens gebruiken”, zegt hij. “Het is ook belangrijk om goede netwerkopschoning en -segmentatie in te zetten, zodat aanvallers zich niet lateraal binnen het netwerk kunnen verplaatsen en hun malware op alle edge-apparaten kunnen inzetten.”

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?