Dwa niebezpieczne narzędzia szkodliwego oprogramowania wycelowane w środowiska systemów sterowania przemysłowego (ICS) i technologii operacyjnych (OT) w Europie to najnowsze przejawy cybernetycznych skutków wojny na Ukrainie.
Jedno z narzędzi, nazwane „Kapsztad”, wydaje się powiązany z Sandwormem, płodnym, wspieranym przez państwo rosyjskim ugrupowaniem cyberprzestępczym, którego grupa bezpieczeństwa Mandiant firmy Google określiła w tym tygodniu jako zagrożenie dla tego kraju główna jednostka cyberataków na Ukrainie. Badacze bezpieczeństwa z fińskiej firmy WithSecure zauważyli backdoora biorącego udział w atakach w 2023 r. na estońską firmę logistyczną i inne cele w Europie Wschodniej i postrzegają go jako aktywne i ciągłe zagrożenie.
Destrukcyjne złośliwe oprogramowanie
Drugi szkodliwy program ma nieco kolorową nazwę Fuxnet — to narzędzie, które najprawdopodobniej wykorzystała wspierana przez rząd Ukrainy grupa cyberprzestępcza Blackjack w niedawnym, niszczycielskim ataku na firmę Moskollector, która utrzymuje dużą sieć czujników monitorujących moskiewski system kanalizacyjny. Napastnicy wykorzystali Fuxnet do skutecznego zablokowania, jak twierdzili, łącznie 1,700 bramek czujników w sieci Moskollector, wyłączając przy tym około 87,000 XNUMX czujników podłączonych do tych bram.
„Główną funkcją szkodliwego oprogramowania Fuxnet ICS było niszczenie i blokowanie dostępu do bram czujników, a także próby uszkodzenia czujników fizycznych” – mówi Sharon Brizinov, dyrektor ds. badań podatności w firmie Claroty zajmującej się bezpieczeństwem ICS, która niedawno badała atak Blackjacka. Brizinov twierdzi, że w wyniku ataku Moskollector będzie prawdopodobnie musiał fizycznie dotrzeć do każdego z tysięcy dotkniętych urządzeń i indywidualnie je wymienić. „Aby przywrócić [Moskollectorowi] zdolność monitorowania i obsługi systemów kanalizacyjnych w całej Moskwie, będą musieli zakupić i zresetować cały system”.
Kapeka i Fuxnet to przykłady szerszych skutków cybernetycznych konfliktu między Rosją a Ukrainą. Odkąd wojna między obydwoma krajami rozpoczęła się w lutym 2022 r. — a nawet na długo wcześniej — grupy hakerów z obu stron opracowały i wykorzystywały przeciwko sobie szereg narzędzi szkodliwego oprogramowania. Wiele narzędzi, w tym wycieraczki i oprogramowanie ransomware, miały charakter destrukcyjny lub zakłócający i skupiał się głównie na infrastrukturze krytycznej, systemach ICS i środowiskach OT w obu krajach.
Jednak w kilku przypadkach doszło do ataków z użyciem narzędzi będących efektem długotrwałego konfliktu między obydwoma krajami dotknęła szerszą grupę ofiar. Najbardziej godnym uwagi przykładem pozostaje NotPetya – złośliwe oprogramowanie, które grupa Sandworm pierwotnie opracowała do użytku na Ukrainie, ale które w 2017 r. miało wpływ na dziesiątki tysięcy systemów na całym świecie. W 2023 r. Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) i Amerykańska Agencja Bezpieczeństwa Narodowego (NSA) ostrzegła przed zestawem narzędzi szkodliwego oprogramowania Sandworm o nazwie „Infamous Chisel”, który stanowi zagrożenie dla użytkowników Androida na całym świecie.
Kapeka: zastępca robaka piaskowego dla GreyEnergy?
Według WithSecure Kapeka to nowatorski backdoor, którego napastnicy mogą używać jako zestawu narzędzi na wczesnym etapie oraz do umożliwienia długoterminowego utrzymywania się w systemie ofiary. Szkodnik zawiera komponent droppera, który umożliwia upuszczenie backdoora na maszynę docelową, a następnie jego usunięcie. „Kapeka obsługuje wszystkie podstawowe funkcje, które pozwalają jej działać jako elastyczne tylne drzwi w posiadłości ofiary” – mówi Mohammad Kazem Hassan Nejad, badacz w WithSecure.
Jego możliwości obejmują odczytywanie i zapisywanie plików z i na dysk, wykonywanie poleceń powłoki oraz uruchamianie szkodliwych ładunków i procesów, w tym plików binarnych żyjących poza ziemią. „Po uzyskaniu wstępnego dostępu operator Kapeki może wykorzystać backdoora do wykonania różnorodnych zadań na komputerze ofiary, takich jak wykrywanie, instalowanie dodatkowego szkodliwego oprogramowania i przygotowywanie kolejnych etapów ataku” – mówi Nejad.
Według Nejada, WithSecure udało się znaleźć dowody sugerujące powiązania z Sandwormem i grupą Szkodnik GreyEnergy wykorzystany w atakach na sieć energetyczną Ukrainy w 2018 r. „Uważamy, że Kapeka może zastąpić GreyEnergy w arsenale Sandworma” – zauważa Nejad. Chociaż obie próbki złośliwego oprogramowania nie pochodzą z tego samego kodu źródłowego, istnieją pewne nałożenia koncepcyjne pomiędzy Kapeką i GreyEnergy, tak jak istniały pewne nałożenia się pomiędzy GreyEnergy i jego poprzednikiem, BlackEnergy. „To wskazuje, że Sandworm mógł z czasem ulepszyć swój arsenał o nowe narzędzia, aby dostosować się do zmieniającego się krajobrazu zagrożeń” – mówi Nejad.
Fuxnet: narzędzie do zakłócania i niszczenia
Tymczasem Brizinov z Clarity identyfikuje Fuxnet jako złośliwe oprogramowanie ICS, którego celem jest spowodowanie uszkodzeń określonego sprzętu czujnikowego wyprodukowanego w Rosji. Szkodnik jest przeznaczony do wdrażania na bramkach monitorujących i zbierających dane z fizycznych czujników na potrzeby alarmów przeciwpożarowych, monitorowania gazu, oświetlenia i podobnych zastosowań.
„Po wdrożeniu szkodliwe oprogramowanie zablokuje bramy, nadpisując swój układ NAND i wyłączając możliwości zewnętrznego zdalnego dostępu, uniemożliwiając operatorom zdalne kontrolowanie urządzeń” – mówi Brizinov.
Oddzielny moduł próbuje następnie zalać same czujniki fizyczne bezużytecznym ruchem M-Bus. M-Bus to europejski protokół komunikacyjny umożliwiający zdalny odczyt liczników gazu, wody, energii elektrycznej i innych. „Jednym z głównych celów szkodliwego oprogramowania Fuxnet ICS firmy Blackjack jest atakowanie i niszczenie samych czujników fizycznych po uzyskaniu dostępu do bramy czujników” – mówi Brizinov. W tym celu Blackjack zdecydował się na fuzję czujników, wysyłając im nieograniczoną liczbę pakietów M-Bus. „W zasadzie BlackJack miał nadzieję, że wysyłając w nieskończoność losowe pakiety M-Bus do czujników, pakiety te przytłoczą je i potencjalnie wyzwolą lukę w zabezpieczeniach, która uszkodzi czujniki i ustawi je w stanie uniemożliwiającym działanie” – mówi.
Najważniejszym wnioskiem, jaki organizacje mogą wyciągnąć z takich ataków, jest zwrócenie uwagi na podstawy bezpieczeństwa. Wygląda na to, że Blackjack uzyskał dostęp root do docelowych bram czujników poprzez nadużywanie słabych danych uwierzytelniających na urządzeniach. Atak podkreśla, dlaczego „ważne jest przestrzeganie dobrej polityki haseł i upewnianie się, że urządzenia nie korzystają z tych samych danych uwierzytelniających ani nie używają domyślnych” – mówi. „Ważne jest również wdrożenie dobrej sanityzacji i segmentacji sieci, aby mieć pewność, że atakujący nie będą mogli przedostać się w poprzek sieci i rozmieścić swojego złośliwego oprogramowania na wszystkich urządzeniach brzegowych”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
