Két veszélyes malware eszköz, amelyek az ipari vezérlőrendszereket (ICS) és az operációs technológiai (OT) környezeteket célozzák Európában, az ukrajnai háború kiberhullásának legújabb megnyilvánulása.
Az egyik eszköz, a „Kapeka”, úgy tűnik, Sandwormhoz, egy termékeny orosz állami támogatású fenyegetési szereplőhöz köthető, akit a Google Mandiant biztonsági csoportja ezen a héten az ország vezetőjének minősített. elsődleges kibertámadási egység Ukrajnában. A finn székhelyű WithSecure biztonsági kutatói észrevették az észt logisztikai vállalat és más kelet-európai célpontok elleni 2023-as támadások hátsó ajtóját, és aktív és folyamatos fenyegetésként érzékelték.
Pusztító rosszindulatú programok
A másik rosszindulatú program – kissé színesen szinkronizálva Fuxnet — egy olyan eszköz, amelyet az ukrán kormány által támogatott Blackjack fenyegetőcsoport valószínűleg használt egy közelmúltbeli, pusztító támadás során a Moskollector ellen, egy olyan vállalat ellen, amely nagy érzékelőhálózatot tart fenn Moszkva szennyvízrendszerének megfigyelésére. A támadók a Fuxnet segítségével sikeresen blokkolták a állításuk szerint összesen 1,700 szenzor-átjárót a Moskollector hálózatán, és a folyamat során mintegy 87,000 XNUMX érzékelőt letiltottak ezekhez az átjárókhoz.
"A Fuxnet ICS rosszindulatú program fő funkciója az volt, hogy megsértette és blokkolta a hozzáférést az érzékelők átjáróihoz, és megpróbálta elrontani a fizikai érzékelőket is" - mondja Sharon Brizinov, a Blackjack támadását nemrégiben vizsgáló Claroty ICS biztonsági cég sebezhetőségi kutatási igazgatója. A támadás eredményeként a Moskollectornak valószínűleg fizikailag el kell érnie a több ezer érintett eszköz mindegyikét, és egyenként ki kell cserélnie őket, mondja Brizinov. „Ahhoz, hogy a [Moskollector] képes legyen felügyelni és működtetni a szennyvízrendszert Moszkva-szerte, be kell szerezniük és vissza kell állítaniuk a teljes rendszert.”
A Kapeka és a Fuxnet példák az Oroszország és Ukrajna közötti konfliktus szélesebb körű kiberhatásaira. A két ország közötti háború 2022 februári kitörése óta – és még jóval azelőtt is – mindkét oldal hackercsoportjai egy sor kártevő eszközt fejlesztettek ki és használtak egymás ellen. Számos eszköz, beleértve az ablaktörlőket és a zsarolóprogramokat, romboló vagy bomlasztó jellegűek voltak és főként a kritikus infrastruktúrát, az ICS-t és az OT környezeteket célozta meg mindkét országban.
De több alkalommal is történtek támadások a két ország közötti hosszan tartó konfliktusból származó eszközökkel az áldozatok szélesebb körét érintette. A legfigyelemreméltóbb példa továbbra is a NotPetya, egy rosszindulatú program, amelyet a Sandworm csoport eredetileg Ukrajnában fejlesztett ki, de amely 2017-ben több tízezer rendszert érintett világszerte. 2023-ban a Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) és a Amerikai Nemzetbiztonsági Ügynökség (NSA) figyelmeztetett egy „Infamous Chisel” névre keresztelt Sandworm kártevő eszközkészletre, amely mindenhol fenyegetést jelent az Android-felhasználók számára.
Kapeka: Homokféreg helyettesítője a GreyEnergy-nek?
A WithSecure szerint a Kapeka egy újszerű hátsó ajtó, amelyet a támadók korai stádiumú eszköztárként használhatnak, és lehetővé teszik az áldozatrendszeren a hosszú távú fennmaradást. A rosszindulatú program tartalmaz egy dropper komponenst, amely ledobja a hátsó ajtót a célgépen, majd eltávolítja magát. „A Kapeka minden alapvető funkciót támogat, amelyek lehetővé teszik, hogy rugalmas hátsó ajtóként működjön az áldozat birtokán” – mondja Mohammad Kazem Hassan Nejad, a WithSecure kutatója.
Lehetőségei közé tartozik a fájlok olvasása és írása lemezről és lemezre, shell-parancsok végrehajtása, valamint rosszindulatú rakományok és folyamatok elindítása, beleértve a földön kívüli binárisokat is. "A kezdeti hozzáférés megszerzése után a Kapeka kezelője a hátsó ajtót használhatja számos feladat végrehajtására az áldozat gépén, például felfedezés, további rosszindulatú programok telepítése és a támadás következő szakaszainak lebonyolítása" - mondja Nejad.
Nejad szerint a WithSecure bizonyítékokat talált, amelyek a Sandworm és a csoport kapcsolatára utalnak GreyEnergy rosszindulatú program 2018-ban Ukrajna villamosenergia-hálózata elleni támadásokban használták. „Úgy gondoljuk, hogy a Kapeka helyettesítheti a GreyEnergyt a Sandworm arzenáljában” – jegyzi meg Nejad. Bár a két rosszindulatú programminta nem ugyanabból a forráskódból származik, van néhány elvi átfedés a Kapeka és a GreyEnergy között, akárcsak a GreyEnergy és elődje között, BlackEnergy. „Ez azt jelzi, hogy a Sandworm idővel új eszközökkel bővíthette arzenálját, hogy alkalmazkodjanak a változó fenyegetési környezethez” – mondja Nejad.
Fuxnet: Eszköz a megzavaráshoz és a pusztításhoz
Eközben a Clarity's Brizinov a Fuxnetet ICS kártevőként azonosítja, amelynek célja, hogy kárt okozzon bizonyos orosz gyártmányú érzékelőberendezésekben. A rosszindulatú program olyan átjárókon való telepítésre szolgál, amelyek figyelik és adatokat gyűjtenek a fizikai érzékelőktől tűzriasztásokhoz, gázfigyeléshez, világításhoz és hasonló felhasználási esetekhez.
„Miután a rosszindulatú program telepítésre került, a NAND chip felülírásával és a külső távoli hozzáférési képességek letiltásával blokkolja az átjárókat, így megakadályozza, hogy a kezelők távolról irányítsák az eszközöket” – mondja Brizinov.
Ezután egy külön modul megpróbálja elárasztani magukat a fizikai érzékelőket haszontalan M-Bus forgalommal. Az M-Bus egy európai kommunikációs protokoll gáz-, víz-, villany- és egyéb mérőórák távoli leolvasására. "A Blackjack Fuxnet ICS kártevőjének egyik fő célja, hogy megtámadják és megsemmisítsék magukat a fizikai érzékelőket, miután hozzáfértek az érzékelő átjárójához" - mondja Brizinov. Ennek érdekében a Blackjack úgy döntött, hogy az érzékelőket korlátlan számú M-Bus csomag elküldésével összezavarja. „Lényegében a BlackJack abban reménykedett, hogy az érzékelők véletlenszerű M-Bus csomagjainak vég nélküli küldésével a csomagok túlterhelik őket, és potenciálisan olyan sebezhetőséget váltanak ki, amely megrongálja az érzékelőket, és működésképtelen állapotba hozza őket” – mondja.
Az ilyen támadásokkal szemben a szervezetek számára a legfontosabb, hogy odafigyeljenek a biztonsági alapokra. A Blackjack például úgy tűnik, hogy az eszközök gyenge hitelesítő adataival visszaélve root hozzáférést kapott a célérzékelő-átjárókhoz. A támadás rávilágít arra, hogy miért fontos betartani a jó jelszópolitikát, biztosítva, hogy az eszközök ne ugyanazokat a hitelesítési adatokat használják, és ne használják az alapértelmezett hitelesítő adatokat. „Az is fontos, hogy a hálózat megfelelő fertőtlenítését és szegmentálását alkalmazzuk, biztosítva, hogy a támadók ne tudjanak oldalirányban mozogni a hálózaton belül, és rosszindulatú programjaikat minden szélső eszközre telepíteni ne tudják.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
- :is
- :nem
- $ UP
- 000
- 1
- 2017
- 2018
- 2022
- 2023
- 7
- 700
- 87
- a
- képesség
- Képes
- hozzáférés
- aktív
- További
- érintett
- Után
- ellen
- Minden termék
- lehetővé
- Is
- an
- és a
- android
- Megjelenik
- VANNAK
- körül
- fegyverraktár
- AS
- At
- támadás
- Támadások
- Kísérletek
- figyelem
- hátsó ajtó
- alapvető
- Alapjai
- BE
- óta
- előtt
- Hisz
- között
- blokkoló
- mindkét
- Mindkét oldal
- tágabb
- de
- by
- TUD
- képességek
- esetek
- Okoz
- változó
- csip
- választotta
- azt állította,
- világosság
- kód
- gyűjt
- távközlés
- vállalat
- összetevő
- fogalmi
- konfliktus
- összefüggő
- kapcsolat
- ellenőrzés
- kontrolling
- megvesztegethető
- országok
- ország
- Hitelesítő adatok
- kritikai
- Kritikus infrastruktúra
- cyber
- kiberbiztonság
- cyberattack
- kár
- Veszélyes
- dátum
- alapértelmezett
- Védelem
- telepíteni
- telepített
- bevezetéséhez
- leírt
- elpusztítani
- fejlett
- Eszközök
- Igazgató
- Tiltva
- felfedezés
- megszakítása
- bomlasztó
- do
- Csepegés
- szinkronizált
- minden
- Korai
- korai fázis
- keleti
- Kelet-Európa
- él
- elektromos
- lehetővé téve
- véget ért
- végtelenül
- Egész
- környezetek
- felszerelés
- lényeg
- birtok
- észt
- Európa
- európai
- Még
- mindenhol
- bizonyíték
- példa
- példák
- végrehajtó
- külső
- Fallout
- jellegű
- február
- Fájlok
- Találjon
- természet
- Cég
- rugalmas
- árvíz
- A
- ból ből
- funkciós
- funkcionalitás
- szerzett
- egyre
- GAS
- gateway
- átjárók
- jó
- Rács
- Csoport
- Csoportok
- hacker
- Legyen
- he
- kiemeli
- HTTPS
- azonosítja
- ütköztető
- fontos
- in
- tartalmaz
- magában foglalja a
- Beleértve
- jelzi
- Egyénileg
- ipari
- aljas
- Infrastruktúra
- kezdetben
- belső
- példa
- szándékolt
- bevonásával
- IT
- ITS
- maga
- jpg
- éppen
- Kulcs
- táj
- nagy
- legutolsó
- indítás
- minőségi
- Valószínű
- összekapcsolt
- logisztika
- régóta fennálló
- hosszú lejáratú
- gép
- Fő
- főleg
- fenntartja
- Gyártás
- rosszindulatú
- malware
- sok
- Lehet..
- jelentett
- Modulok
- monitor
- ellenőrzés
- Moszkva
- a legtöbb
- mozog
- nemzeti
- nemzetbiztonság
- NCSC
- Szükség
- hálózat
- Új
- következő
- figyelemre méltó
- Megjegyzések
- regény
- NSA
- szám
- alkalommal
- of
- on
- egyszer
- ONE
- azok
- folyamatban lévő
- működik
- üzemeltetési
- operátor
- üzemeltetők
- or
- szervezetek
- eredetileg
- ot
- Más
- felett
- csomagok
- Jelszó
- Fizet
- Teljesít
- kitartás
- fizikai
- fizikailag
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- politika
- pózol
- potenciálisan
- hatalom
- Elektromos hálózat
- előző
- megakadályozása
- folyamat
- Folyamatok
- előírja
- szapora
- protokoll
- célokra
- véletlen
- hatótávolság
- ransomware
- el
- Olvasás
- új
- nemrég
- maradványok
- távoli
- távoli hozzáférés
- távolról
- eltávolítása
- cserélni
- csere
- kutatás
- kutató
- kutatók
- visszaad
- eredményez
- gyökér
- Oroszország
- orosz
- s
- azonos
- azt mondja,
- biztonság
- szegmentáció
- elküldés
- érzékelő
- érzékelők
- különálló
- számos
- Megosztás
- Héj
- Sides
- hasonló
- óta
- So
- néhány
- némileg
- forrás
- forráskód
- különleges
- Színpad
- állapota
- színpadra állítás
- kezdődött
- Állami
- sikeresen
- ilyen
- Támogatja
- biztos
- rendszer
- Systems
- cél
- célzott
- célok
- feladatok
- Technológia
- tíz
- hogy
- A
- azok
- Őket
- maguk
- akkor
- Ott.
- Ezek
- ők
- ezt
- ezen a héten
- bár?
- ezer
- fenyegetés
- idő
- nak nek
- szerszám
- eszköztár
- szerszámok
- Végösszeg
- forgalom
- kiváltó
- próbál
- kettő
- Ukrajna
- egység
- korlátlan
- frissített
- helyt
- használ
- használt
- hiábavaló
- Felhasználók
- hasznosít
- fajta
- Áldozat
- sebezhetőség
- háború
- Háború Ukrajnában
- figyelmeztetett
- volt
- Víz
- we
- gyenge
- hét
- JÓL
- voltak
- Mit
- ami
- miért
- széles
- lesz
- val vel
- világszerte
- lenne
- írás
- zephyrnet