Trí thông minh dữ liệu Plato.
Tìm kiếm dọc & Ai.

An ninh mạng

Phần mềm độc hại ICS mới nguy hiểm nhắm vào các tổ chức ở Nga và Ukraine

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Hai công cụ phần mềm độc hại nguy hiểm nhắm vào các hệ thống điều khiển công nghiệp (ICS) và môi trường công nghệ vận hành (OT) ở châu Âu là những biểu hiện mới nhất về hậu quả không gian mạng từ cuộc chiến ở Ukraine.

Một trong những công cụ được mệnh danh là “Kapeka,” dường như có liên quan đến Sandworm, một kẻ đe dọa được nhà nước Nga hậu thuẫn mạnh mẽ mà nhóm bảo mật Mandiant của Google trong tuần này mô tả là kẻ tấn công của nước này. đơn vị tấn công mạng chính ở Ukraine. Các nhà nghiên cứu bảo mật từ WithSecure có trụ sở tại Phần Lan đã phát hiện ra cửa hậu đặc trưng trong các cuộc tấn công năm 2023 nhằm vào một công ty hậu cần của Estonia và các mục tiêu khác ở Đông Âu và coi đây là một mối đe dọa đang hoạt động và đang diễn ra.

Phần mềm độc hại phá hoại

Phần mềm độc hại khác — được mệnh danh một cách màu mè Fuxnet — là một công cụ mà nhóm đe dọa Blackjack được chính phủ Ukraine hậu thuẫn có thể đã sử dụng trong một cuộc tấn công mang tính hủy diệt gần đây nhằm vào Moskollector, một công ty duy trì một mạng lưới cảm biến lớn để giám sát hệ thống nước thải của Moscow. Những kẻ tấn công đã sử dụng Fuxnet để phá hủy thành công thứ mà chúng tuyên bố là tổng cộng 1,700 cổng cảm biến trên mạng của Moskollector và trong quá trình này đã vô hiệu hóa khoảng 87,000 cảm biến được kết nối với các cổng này.

Sharon Brizinov, giám đốc nghiên cứu lỗ hổng tại công ty bảo mật ICS Claroty, công ty gần đây đã điều tra cuộc tấn công của Blackjack, cho biết: “Chức năng chính của phần mềm độc hại Fuxnet ICS là làm hỏng và chặn quyền truy cập vào các cổng cảm biến, đồng thời cố gắng làm hỏng các cảm biến vật lý”. Brizinov cho biết, do cuộc tấn công, Moskollector có thể sẽ phải tiếp cận từng thiết bị trong số hàng nghìn thiết bị bị ảnh hưởng và thay thế chúng riêng lẻ. “Để khôi phục khả năng giám sát và vận hành hệ thống thoát nước xung quanh Moscow của [Moskollector], họ sẽ cần mua sắm và thiết lập lại toàn bộ hệ thống.”

Kapeka và Fuxnet là những ví dụ về hậu quả không gian mạng rộng lớn hơn từ cuộc xung đột giữa Nga và Ukraine. Kể từ khi cuộc chiến giữa hai nước bắt đầu vào tháng 2022 năm XNUMX — và thậm chí trước đó — các nhóm hacker của cả hai bên đã phát triển và sử dụng một loạt công cụ phần mềm độc hại để chống lại nhau. Nhiều công cụ, bao gồm cả trình xóa và phần mềm tống tiền, đã bị phá hủy hoặc gây rối về bản chất và chủ yếu nhắm vào cơ sở hạ tầng quan trọng, môi trường ICS và OT ở cả hai quốc gia.

Nhưng trong một số trường hợp, các cuộc tấn công liên quan đến công cụ xuất phát từ cuộc xung đột lâu dài giữa hai nước đã xảy ra. ảnh hưởng đến nhiều nạn nhân hơn. Ví dụ đáng chú ý nhất vẫn là NotPetya, một công cụ phần mềm độc hại mà nhóm Sandworm ban đầu phát triển để sử dụng ở Ukraine, nhưng cuối cùng đã ảnh hưởng đến hàng chục nghìn hệ thống trên toàn thế giới vào năm 2017. Vào năm 2023, Trung tâm An ninh mạng Quốc gia Vương quốc Anh (NCSC) và Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã cảnh báo về bộ công cụ phần mềm độc hại Sandworm có tên là “Infamous Chisel” gây ra mối đe dọa cho người dùng Android ở khắp mọi nơi.

Kapeka: Sự thay thế giun cát cho GreyEnergy?

Theo WithSecure, Kapeka là một cửa hậu mới mà kẻ tấn công có thể sử dụng làm bộ công cụ ở giai đoạn đầu và cho phép tồn tại lâu dài trên hệ thống nạn nhân. Phần mềm độc hại bao gồm một thành phần nhỏ giọt để thả cửa hậu vào máy mục tiêu và sau đó tự xóa chính nó. Mohammad Kazem Hassan Nejad, nhà nghiên cứu tại WithSecure cho biết: “Kapeka hỗ trợ tất cả các chức năng cơ bản cho phép nó hoạt động như một cửa sau linh hoạt trong khu vực của nạn nhân”.

Các khả năng của nó bao gồm đọc và ghi các tệp từ và vào đĩa, thực thi các lệnh shell cũng như khởi chạy các tải trọng và quy trình độc hại, bao gồm cả các tệp nhị phân sống ngoài đất liền. Nejad cho biết: “Sau khi có được quyền truy cập ban đầu, kẻ điều hành Kapeka có thể sử dụng cửa sau để thực hiện nhiều tác vụ khác nhau trên máy của nạn nhân, chẳng hạn như phát hiện, triển khai phần mềm độc hại bổ sung và dàn dựng các giai đoạn tấn công tiếp theo của chúng”.

Theo Nejad, WithSecure đã có thể tìm thấy bằng chứng cho thấy mối liên hệ với Sandworm và nhóm Phần mềm độc hại GreyEnergy được sử dụng trong các cuộc tấn công vào lưới điện của Ukraine vào năm 2018. “Chúng tôi tin rằng Kapeka có thể là sự thay thế cho GreyEnergy trong kho vũ khí của Sandworm,” Nejad lưu ý. Mặc dù hai mẫu phần mềm độc hại không có nguồn gốc từ cùng một mã nguồn, nhưng có một số điểm trùng lặp về khái niệm giữa Kapeka và GreyEnergy, cũng như có một số điểm trùng lặp giữa GreyEnergy và phiên bản tiền nhiệm của nó, BlackEnergy. “Điều này cho thấy rằng Sandworm có thể đã nâng cấp kho vũ khí của họ với công cụ mới theo thời gian để thích ứng với bối cảnh mối đe dọa đang thay đổi,” Nejad nói.

Fuxnet: Một công cụ để phá vỡ và tiêu diệt

Trong khi đó, Brizinov của Clarity xác định Fuxnet là phần mềm độc hại ICS nhằm mục đích gây thiệt hại cho các thiết bị cảm biến cụ thể do Nga sản xuất. Phần mềm độc hại này nhằm mục đích triển khai trên các cổng giám sát và thu thập dữ liệu từ các cảm biến vật lý để báo cháy, giám sát khí, chiếu sáng và các trường hợp sử dụng tương tự.

Brizinov cho biết: “Sau khi phần mềm độc hại được triển khai, nó sẽ chặn các cổng bằng cách ghi đè chip NAND và vô hiệu hóa khả năng truy cập từ xa bên ngoài, ngăn cản người vận hành điều khiển thiết bị từ xa”.  

Sau đó, một mô-đun riêng biệt sẽ cố gắng làm ngập các cảm biến vật lý bằng lưu lượng M-Bus vô dụng. M-Bus là một giao thức truyền thông của Châu Âu để đọc từ xa các đồng hồ đo gas, nước, điện và các đồng hồ khác. Brizinov cho biết: “Một trong những mục đích chính của phần mềm độc hại Fuxnet ICS của Blackjack là tấn công và phá hủy chính các cảm biến vật lý sau khi có được quyền truy cập vào cổng cảm biến”. Để làm như vậy, Blackjack đã chọn làm mờ các cảm biến bằng cách gửi cho chúng số lượng gói M-Bus không giới hạn. “Về bản chất, BlackJack hy vọng rằng bằng cách gửi liên tục các gói M-Bus ngẫu nhiên cho cảm biến, các gói này sẽ tràn ngập chúng và có khả năng gây ra lỗ hổng làm hỏng cảm biến và khiến chúng ở trạng thái không thể hoạt động,” anh nói.

Bài học quan trọng mà các tổ chức cần rút ra từ những cuộc tấn công như vậy là chú ý đến những vấn đề cơ bản về bảo mật. Ví dụ: Blackjack dường như đã giành được quyền truy cập root vào các cổng cảm biến mục tiêu bằng cách lạm dụng thông tin xác thực yếu trên thiết bị. Cuộc tấn công nêu bật lý do tại sao việc “duy trì chính sách mật khẩu tốt là điều quan trọng, đảm bảo các thiết bị không dùng chung thông tin xác thực hoặc sử dụng thông tin mặc định”, ông nói. “Điều quan trọng nữa là phải triển khai phân đoạn và vệ sinh mạng tốt, đảm bảo rằng những kẻ tấn công sẽ không thể di chuyển ngang trong mạng và triển khai phần mềm độc hại của chúng tới tất cả các thiết bị biên.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?