Noul program malware ICS periculos vizează organizațiile din Rusia și Ucraina

Două instrumente malware periculoase care vizează sistemele de control industrial (ICS) și mediile de tehnologie de operare (OT) din Europa sunt cele mai recente manifestări ale efectelor cibernetice din războiul din Ucraina.

Unul dintre instrumente, numit „Kapeka”, pare legat de Sandworm, un actor prolific de amenințări susținut de stat rus, pe care grupul de securitate Mandiant de la Google l-a descris săptămâna aceasta ca fiind cel al țării. unitate principală de atac cibernetic din Ucraina. Cercetătorii de securitate de la WithSecure, cu sediul în Finlanda, au observat ușa din spate prezentată în atacurile din 2023 împotriva unei companii de logistică estoniene și a altor ținte din Europa de Est și o percep ca o amenințare activă și continuă.

Malware distructiv

Celălalt malware - oarecum dublat colorat Fuxnet — este un instrument pe care grupul de amenințare Blackjack, susținut de guvernul ucrainean, l-a folosit probabil într-un atac distructiv recent împotriva Moskolllector, o companie care menține o rețea mare de senzori pentru monitorizarea sistemului de canalizare al Moscovei. Atacatorii au folosit Fuxnet pentru a construi cu succes ceea ce pretindeau că este un total de 1,700 de gateway-uri cu senzori în rețeaua Moskolllector și, în acest proces, au dezactivat aproximativ 87,000 de senzori conectați la aceste gateway-uri.

„Principala funcționalitate a malware-ului Fuxnet ICS a fost coruperea și blocarea accesului la gateway-urile senzorilor și încercarea de a corupe și senzorii fizici”, spune Sharon Brizinov, director de cercetare a vulnerabilităților la firma de securitate ICS Claroty, care a investigat recent atacul Blackjack. Ca urmare a atacului, Moskolllector va trebui probabil să ajungă fizic la fiecare dintre miile de dispozitive afectate și să le înlocuiască individual, spune Brizinov. „Pentru a restabili capacitatea [Moskolllector] de a monitoriza și opera sistemul de canalizare din toată Moscova, vor trebui să procure și să reseteze întregul sistem.”

Kapeka și Fuxnet sunt exemple ale efectelor cibernetice mai ample din conflictul dintre Rusia și Ucraina. De când războiul dintre cele două țări a început în februarie 2022 – și chiar cu mult înainte de asta – grupurile de hackeri din ambele părți s-au dezvoltat și au folosit o serie de instrumente malware unul împotriva celuilalt. Multe dintre instrumente, inclusiv ștergătoare și ransomware, au fost de natură distructivă sau perturbatoare și a vizat în principal infrastructura critică, ICS și mediile OT din ambele țări.

Dar, de mai multe ori, atacurile care implică instrumente generate de conflictul de lungă durată dintre cele două țări au a afectat o gamă mai largă de victime. Cel mai notabil exemplu rămâne NotPetya, un instrument malware pe care grupul Sandworm l-a dezvoltat inițial pentru a fi utilizat în Ucraina, dar care a ajuns să afecteze zeci de mii de sisteme din întreaga lume în 2017. În 2023, Centrul Național de Securitate Cibernetică din Marea Britanie (NCSC) și Agenția Națională de Securitate a SUA (NSA) a avertizat că un set de instrumente malware Sandworm numit „Infamous Chisel” reprezintă o amenințare pentru utilizatorii Android de pretutindeni.

Kapeka: Un înlocuitor de vierme de nisip pentru GreyEnergy?

Potrivit WithSecure, Kapeka este o ușă din spate nou pe care atacatorii o pot folosi ca un set de instrumente în stadiu incipient și pentru a permite persistența pe termen lung pe un sistem victimă. Malware-ul include o componentă dropper pentru a arunca ușa din spate pe o mașină țintă și apoi a se elimina. „Kapeka acceptă toate funcționalitățile de bază care îi permit să funcționeze ca o ușă din spate flexibilă în proprietatea victimei”, spune Mohammad Kazem Hassan Nejad, cercetător la WithSecure.

Capacitățile sale includ citirea și scrierea fișierelor de pe și pe disc, executarea comenzilor shell și lansarea de încărcături utile și procese rău intenționate, inclusiv binarele care trăiesc în afara terenului. „După obținerea accesului inițial, operatorul Kapeka poate utiliza ușa din spate pentru a efectua o mare varietate de sarcini pe mașina victimei, cum ar fi descoperirea, implementarea de malware suplimentar și organizarea etapelor următoare ale atacului lor”, spune Nejad.

Potrivit lui Nejad, WithSecure a reușit să găsească dovezi care sugerează o legătură cu Sandworm și grupul. Malware GreyEnergy folosit în atacurile asupra rețelei electrice a Ucrainei în 2018. „Credem că Kapeka poate fi un înlocuitor pentru GreyEnergy în arsenalul Sandworm”, notează Nejad. Deși cele două mostre de malware nu provin din același cod sursă, există unele suprapuneri conceptuale între Kapeka și GreyEnergy, așa cum au existat unele suprapuneri între GreyEnergy și predecesorul său, BlackEnergy. „Acest lucru indică faptul că Sandworm ar putea să-și fi îmbunătățit arsenalul cu noi instrumente de-a lungul timpului pentru a se adapta peisajului în schimbare a amenințărilor”, spune Nejad.

Fuxnet: un instrument de perturbare și distrugere

Între timp, Brizinov de la Clarity identifică Fuxnet drept malware ICS destinat să provoace daune anumitor echipamente cu senzori fabricate în Rusia. Malware-ul este destinat implementării pe gateway-uri care monitorizează și colectează date de la senzorii fizici pentru alarme de incendiu, monitorizare a gazelor, iluminat și cazuri de utilizare similare.

„Odată ce malware-ul este implementat, va bloca porțile prin suprascrierea cipul său NAND și dezactivând capabilitățile externe de acces la distanță, împiedicând operatorii să controleze de la distanță dispozitivele”, spune Brizinov.  

Un modul separat încearcă apoi să inunde senzorii fizici înșiși cu trafic M-Bus inutil. M-Bus este un protocol european de comunicații pentru citirea de la distanță a contoarelor de gaz, apă, electricitate și alte contoare. „Unul dintre scopurile principale ale programului malware Fuxnet ICS de la Blackjack [este] să atace și să distrugă senzorii fizici înșiși după ce au acces la poarta de acces la senzori,” spune Brizinov. Pentru a face acest lucru, Blackjack a ales să fuzz senzorii trimițându-le un număr nelimitat de pachete M-Bus. „În esență, BlackJack a sperat că, trimițând la nesfârșit pachetele M-Bus aleatoare ale senzorului, pachetele le vor copleși și ar putea declanșa o vulnerabilitate care ar corupe senzorii și i-ar pune într-o stare inoperabilă”, spune el.

Principala concluzie pentru organizații de la astfel de atacuri este să acorde atenție elementelor de bază de securitate. Blackjack-ul, de exemplu, pare să fi obținut acces root la gateway-urile senzorilor țintă, abuzând de acreditările slabe ale dispozitivelor. Atacul evidențiază de ce „este important să menținem o politică bună de parole, asigurându-vă că dispozitivele nu au aceleași acreditări sau nu le folosesc pe cele implicite”, spune el. „Este, de asemenea, important să implementați o igienizare și o segmentare bună a rețelei, asigurându-vă că atacatorii nu se vor putea deplasa lateral în interiorul rețelei și să-și implementeze malware-ul pe toate dispozitivele de vârf.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine