Veszélyes új ICS-rosszindulatú programok az oroszországi és ukrajnai szervezeteket célozzák

Két veszélyes malware eszköz, amelyek az ipari vezérlőrendszereket (ICS) és az operációs technológiai (OT) környezeteket célozzák Európában, az ukrajnai háború kiberhullásának legújabb megnyilvánulása.

Az egyik eszköz, a „Kapeka”, úgy tűnik, Sandwormhoz, egy termékeny orosz állami támogatású fenyegetési szereplőhöz köthető, akit a Google Mandiant biztonsági csoportja ezen a héten az ország vezetőjének minősített. elsődleges kibertámadási egység Ukrajnában. A finn székhelyű WithSecure biztonsági kutatói észrevették az észt logisztikai vállalat és más kelet-európai célpontok elleni 2023-as támadások hátsó ajtóját, és aktív és folyamatos fenyegetésként érzékelték.

Pusztító rosszindulatú programok

A másik rosszindulatú program – kissé színesen szinkronizálva Fuxnet — egy olyan eszköz, amelyet az ukrán kormány által támogatott Blackjack fenyegetőcsoport valószínűleg használt egy közelmúltbeli, pusztító támadás során a Moskollector ellen, egy olyan vállalat ellen, amely nagy érzékelőhálózatot tart fenn Moszkva szennyvízrendszerének megfigyelésére. A támadók a Fuxnet segítségével sikeresen blokkolták a állításuk szerint összesen 1,700 szenzor-átjárót a Moskollector hálózatán, és a folyamat során mintegy 87,000 XNUMX érzékelőt letiltottak ezekhez az átjárókhoz.

"A Fuxnet ICS rosszindulatú program fő funkciója az volt, hogy megsértette és blokkolta a hozzáférést az érzékelők átjáróihoz, és megpróbálta elrontani a fizikai érzékelőket is" - mondja Sharon Brizinov, a Blackjack támadását nemrégiben vizsgáló Claroty ICS biztonsági cég sebezhetőségi kutatási igazgatója. A támadás eredményeként a Moskollectornak valószínűleg fizikailag el kell érnie a több ezer érintett eszköz mindegyikét, és egyenként ki kell cserélnie őket, mondja Brizinov. „Ahhoz, hogy a [Moskollector] képes legyen felügyelni és működtetni a szennyvízrendszert Moszkva-szerte, be kell szerezniük és vissza kell állítaniuk a teljes rendszert.”

A Kapeka és a Fuxnet példák az Oroszország és Ukrajna közötti konfliktus szélesebb körű kiberhatásaira. A két ország közötti háború 2022 februári kitörése óta – és még jóval azelőtt is – mindkét oldal hackercsoportjai egy sor kártevő eszközt fejlesztettek ki és használtak egymás ellen. Számos eszköz, beleértve az ablaktörlőket és a zsarolóprogramokat, romboló vagy bomlasztó jellegűek voltak és főként a kritikus infrastruktúrát, az ICS-t és az OT környezeteket célozta meg mindkét országban.

De több alkalommal is történtek támadások a két ország közötti hosszan tartó konfliktusból származó eszközökkel az áldozatok szélesebb körét érintette. A legfigyelemreméltóbb példa továbbra is a NotPetya, egy rosszindulatú program, amelyet a Sandworm csoport eredetileg Ukrajnában fejlesztett ki, de amely 2017-ben több tízezer rendszert érintett világszerte. 2023-ban a Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) és a Amerikai Nemzetbiztonsági Ügynökség (NSA) figyelmeztetett egy „Infamous Chisel” névre keresztelt Sandworm kártevő eszközkészletre, amely mindenhol fenyegetést jelent az Android-felhasználók számára.

Kapeka: Homokféreg helyettesítője a GreyEnergy-nek?

A WithSecure szerint a Kapeka egy újszerű hátsó ajtó, amelyet a támadók korai stádiumú eszköztárként használhatnak, és lehetővé teszik az áldozatrendszeren a hosszú távú fennmaradást. A rosszindulatú program tartalmaz egy dropper komponenst, amely ledobja a hátsó ajtót a célgépen, majd eltávolítja magát. „A Kapeka minden alapvető funkciót támogat, amelyek lehetővé teszik, hogy rugalmas hátsó ajtóként működjön az áldozat birtokán” – mondja Mohammad Kazem Hassan Nejad, a WithSecure kutatója.

Lehetőségei közé tartozik a fájlok olvasása és írása lemezről és lemezre, shell-parancsok végrehajtása, valamint rosszindulatú rakományok és folyamatok elindítása, beleértve a földön kívüli binárisokat is. "A kezdeti hozzáférés megszerzése után a Kapeka kezelője a hátsó ajtót használhatja számos feladat végrehajtására az áldozat gépén, például felfedezés, további rosszindulatú programok telepítése és a támadás következő szakaszainak lebonyolítása" - mondja Nejad.

Nejad szerint a WithSecure bizonyítékokat talált, amelyek a Sandworm és a csoport kapcsolatára utalnak GreyEnergy rosszindulatú program 2018-ban Ukrajna villamosenergia-hálózata elleni támadásokban használták. „Úgy gondoljuk, hogy a Kapeka helyettesítheti a GreyEnergyt a Sandworm arzenáljában” – jegyzi meg Nejad. Bár a két rosszindulatú programminta nem ugyanabból a forráskódból származik, van néhány elvi átfedés a Kapeka és a GreyEnergy között, akárcsak a GreyEnergy és elődje között, BlackEnergy. „Ez azt jelzi, hogy a Sandworm idővel új eszközökkel bővíthette arzenálját, hogy alkalmazkodjanak a változó fenyegetési környezethez” – mondja Nejad.

Fuxnet: Eszköz a megzavaráshoz és a pusztításhoz

Eközben a Clarity's Brizinov a Fuxnetet ICS kártevőként azonosítja, amelynek célja, hogy kárt okozzon bizonyos orosz gyártmányú érzékelőberendezésekben. A rosszindulatú program olyan átjárókon való telepítésre szolgál, amelyek figyelik és adatokat gyűjtenek a fizikai érzékelőktől tűzriasztásokhoz, gázfigyeléshez, világításhoz és hasonló felhasználási esetekhez.

„Miután a rosszindulatú program telepítésre került, a NAND chip felülírásával és a külső távoli hozzáférési képességek letiltásával blokkolja az átjárókat, így megakadályozza, hogy a kezelők távolról irányítsák az eszközöket” – mondja Brizinov.  

Ezután egy külön modul megpróbálja elárasztani magukat a fizikai érzékelőket haszontalan M-Bus forgalommal. Az M-Bus egy európai kommunikációs protokoll gáz-, víz-, villany- és egyéb mérőórák távoli leolvasására. "A Blackjack Fuxnet ICS kártevőjének egyik fő célja, hogy megtámadják és megsemmisítsék magukat a fizikai érzékelőket, miután hozzáfértek az érzékelő átjárójához" - mondja Brizinov. Ennek érdekében a Blackjack úgy döntött, hogy az érzékelőket korlátlan számú M-Bus csomag elküldésével összezavarja. „Lényegében a BlackJack abban reménykedett, hogy az érzékelők véletlenszerű M-Bus csomagjainak vég nélküli küldésével a csomagok túlterhelik őket, és potenciálisan olyan sebezhetőséget váltanak ki, amely megrongálja az érzékelőket, és működésképtelen állapotba hozza őket” – mondja.

Az ilyen támadásokkal szemben a szervezetek számára a legfontosabb, hogy odafigyeljenek a biztonsági alapokra. A Blackjack például úgy tűnik, hogy az eszközök gyenge hitelesítő adataival visszaélve root hozzáférést kapott a célérzékelő-átjárókhoz. A támadás rávilágít arra, hogy miért fontos betartani a jó jelszópolitikát, biztosítva, hogy az eszközök ne ugyanazokat a hitelesítési adatokat használják, és ne használják az alapértelmezett hitelesítő adatokat. „Az is fontos, hogy a hálózat megfelelő fertőtlenítését és szegmentálását alkalmazzuk, biztosítva, hogy a támadók ne tudjanak oldalirányban mozogni a hálózaton belül, és rosszindulatú programjaikat minden szélső eszközre telepíteni ne tudják.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine