Останніми проявами кібернаслідків війни в Україні є два небезпечні інструменти зловмисного програмного забезпечення, націлені на промислові системи керування (ICS) і операційні технології (OT) у Європі.
Один із інструментів, який отримав назву «Капека”, схоже, пов’язаний із Sandworm, плідним російським державним учасником загроз, якого група безпеки Google Mandiant цього тижня описала як первинний підрозділ боротьби з кібератаками в Україні. Дослідники безпеки з фінської компанії WithSecure помітили бекдор, який використовувався в атаках 2023 року на естонську логістичну компанію та інші цілі у Східній Європі, і сприймають це як активну та постійну загрозу.
Деструктивне шкідливе програмне забезпечення
Інше шкідливе програмне забезпечення — дещо барвисто озвучене Fuxnet — це інструмент, який підтримувана урядом України група загроз Blackjack, ймовірно, використала під час нещодавньої руйнівної атаки на Moskollector, компанію, яка підтримує велику мережу датчиків для моніторингу каналізаційної системи Москви. Зловмисники використали Fuxnet, щоб успішно заблокувати, як вони стверджували, 1,700 сенсорних шлюзів у мережі Moskollector і в процесі цього вивели з ладу близько 87,000 XNUMX датчиків, підключених до цих шлюзів.
«Основна функція зловмисного програмного забезпечення Fuxnet ICS полягала в пошкодженні та блокуванні доступу до шлюзів датчиків, а також у спробах пошкодження фізичних датчиків», — каже Шерон Брізінов, директор із дослідження вразливостей фірми безпеки ICS Claroty, яка нещодавно розслідувала атаку Blackjack. У результаті атаки «Москолектору», ймовірно, доведеться фізично дістатися до кожного з тисяч постраждалих пристроїв і замінити їх окремо, каже Бризінов. «Щоб відновити здатність [Москолектору] контролювати та управляти каналізаційною системою по всій Москві, їм потрібно буде придбати та перезавантажити всю систему».
Kapeka та Fuxnet є прикладами ширших кібернаслідків конфлікту між Росією та Україною. Оскільки війна між двома країнами почалася в лютому 2022 року — і навіть задовго до цього — хакерські групи з обох сторін розробили та використовували низку інструментів зловмисного програмного забезпечення одна проти одної. Багато інструментів, у тому числі склоочисники та програми-вимагачі, мали деструктивний або руйнівний характер і в основному націлені на критичну інфраструктуру, ICS та OT середовища в обох країнах.
Але в кількох випадках атаки із застосуванням інструментів були породжені давнім конфліктом між двома країнами вплинуло на ширше коло жертв. Найпомітнішим прикладом залишається NotPetya, зловмисний інструмент, який група Sandworm спочатку розробила для використання в Україні, але який у 2017 році вплинув на десятки тисяч систем у всьому світі. У 2023 році Національний центр кібербезпеки Великобританії (NCSC) і Агентство національної безпеки США (NSA) попередили про набір шкідливих програм Sandworm під назвою «Infamous Chisel», який становить загрозу для користувачів Android у всьому світі.
Kapeka: Sandworm замінює GreyEnergy?
Згідно з WithSecure, Kapeka — це новий бекдор, який зловмисники можуть використовувати як набір інструментів на ранній стадії та для забезпечення тривалого збереження системи жертви. Зловмисне програмне забезпечення містить компонент дроппера для скидання бекдора на цільову машину, а потім його видалення. «Kapeka підтримує всі основні функції, які дозволяють йому працювати як гнучкий бекдор у маєтку жертви», — каже Мохаммад Казем Хассан Неджад, дослідник WithSecure.
Його можливості включають читання та запис файлів з диска та на диск, виконання команд оболонки та запуск зловмисних корисних навантажень і процесів, у тому числі живих бінарних файлів. «Отримавши початковий доступ, оператор Kapeka може використовувати бекдор для виконання різноманітних завдань на машині жертви, таких як виявлення, розгортання додаткового шкідливого програмного забезпечення та інсценування наступних етапів атаки», — каже Неджад.
За словами Неджада, WithSecure вдалося знайти докази зв’язку з Sandworm і групою Шкідлива програма GreyEnergy «Ми вважаємо, що Kapeka може стати заміною GreyEnergy в арсеналі Sandworm», — зазначає Неджад. Хоча два зразки зловмисного програмного забезпечення походять не з одного вихідного коду, є деякі концептуальні збіги між Kapeka та GreyEnergy, так само як були деякі збіги між GreyEnergy та його попередником, BlackEnergy. «Це вказує на те, що Sandworm, можливо, оновив свій арсенал новими інструментами з часом, щоб адаптуватися до мінливого середовища загроз», — каже Неджад.
Fuxnet: інструмент для руйнування та знищення
Тим часом Брізінов з Clarity визначає Fuxnet як шкідливу програму ICS, призначену для пошкодження конкретного російського сенсорного обладнання. Зловмисне програмне забезпечення призначене для розгортання на шлюзах, які відстежують і збирають дані з фізичних датчиків для пожежної сигналізації, моніторингу газу, освітлення тощо.
«Як тільки зловмисне програмне забезпечення буде розгорнуто, воно блокує шлюзи, перезаписуючи свій чіп NAND і вимикаючи зовнішні можливості віддаленого доступу, не даючи операторам можливості віддалено керувати пристроями», — говорить Бризінов.
Потім окремий модуль намагається заповнити самі фізичні датчики марним трафіком M-Bus. M-Bus — це європейський протокол зв’язку для дистанційного зчитування лічильників газу, води, електроенергії та інших приладів. «Однією з головних цілей зловмисного програмного забезпечення Fuxnet ICS від Blackjack є атака та знищення самих фізичних датчиків після отримання доступу до сенсорного шлюзу», — каже Бризінов. Для цього Блекджек вирішив вимкнути датчики, надіславши їм необмежену кількість пакетів M-Bus. «По суті, BlackJack сподівався, що нескінченно надсилаючи датчикам випадкові пакети M-Bus, пакети перевантажать їх і потенційно спровокують уразливість, яка пошкодить датчики та переведе їх у непрацездатний стан», — каже він.
Основний висновок для організацій від таких атак — звернути увагу на основи безпеки. Блекджек, наприклад, здається, отримав кореневий доступ до цільових сенсорних шлюзів, зловживаючи слабкими обліковими даними на пристроях. Атака підкреслює, чому «важливо підтримувати правильну політику паролів, переконавшись, що пристрої не мають однакових облікових даних або не використовують облікові дані за замовчуванням», — каже він. «Також важливо розгорнути якісну санітарну обробку та сегментацію мережі, переконавшись, що зловмисники не зможуть пересуватися всередині мережі та розгортати своє шкідливе програмне забезпечення на всіх периферійних пристроях».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
