Два опасных вредоносных инструмента, нацеленных на промышленные системы управления (ICS) и операционные технологии (OT) в Европе, являются последними проявлениями кибер-последствий войны в Украине.
Один из инструментов, получивший название «Капека», судя по всему, связан с Sandworm, плодовитым российским злоумышленником, поддерживаемым государством, которого группа безопасности Google Mandiant на этой неделе назвала основное подразделение по кибератакам в Украине. Исследователи безопасности из финской компании WithSecure обнаружили бэкдор, использованный в атаках на эстонскую логистическую компанию и другие цели в Восточной Европе в 2023 году, и восприняли его как активную и постоянную угрозу.
Разрушительное вредоносное ПО
Другая вредоносная программа, получившая несколько красочное название Фукснет — это инструмент, который поддерживаемая правительством Украины группа угроз Blackjack, вероятно, использовала в недавней разрушительной атаке на Москоллектор, компанию, которая поддерживает большую сеть датчиков для мониторинга канализационной системы Москвы. Злоумышленники использовали Fuxnet, чтобы успешно вывести из строя 1,700 сенсорных шлюзов в сети Москоллектора и в процессе вывести из строя около 87,000 XNUMX датчиков, подключенных к этим шлюзам.
«Основной функциональностью вредоносного ПО Fuxnet ICS было повреждение и блокирование доступа к сенсорным шлюзам, а также попытка вывести из строя физические датчики», — говорит Шэрон Бризинов, директор по исследованию уязвимостей компании Claroty, занимающейся безопасностью ICS, которая недавно расследовала атаку Blackjack. По словам Бризинова, в результате атаки Москоллектору, скорее всего, придется физически добраться до каждого из тысяч пострадавших устройств и заменить их по отдельности. «Чтобы восстановить способность [Москоллектора] контролировать и эксплуатировать канализационную систему по всей Москве, им необходимо будет закупить и перезагрузить всю систему».
Капека и Fuxnet являются примерами более масштабных кибер-последствий конфликта между Россией и Украиной. С тех пор, как в феврале 2022 года началась война между двумя странами — и даже задолго до этого — хакерские группы с обеих сторон разработали и использовали ряд вредоносных программ друг против друга. Многие инструменты, включая программы-вымогатели и программы-вымогатели, носили деструктивный или разрушительный характер и в основном нацелены на критическую инфраструктуру, АСУ ТП и ОТ-среды в обеих странах.
Однако в ряде случаев атаки с использованием инструментов, порожденных давним конфликтом между двумя странами, имели затронул более широкий круг жертв. Наиболее ярким примером остается NotPetya, вредоносное ПО, которое группа Sandworm изначально разработала для использования в Украине, но которое в конечном итоге затронуло десятки тысяч систем по всему миру в 2017 году. В 2023 году Национальный центр кибербезопасности Великобритании (NCSC) и Агентство национальной безопасности США (АНБ) предупредило о наборе вредоносных программ Sandworm, получившем название «Infamous Chisel», представляющем угрозу для пользователей Android во всем мире.
Капека: замена GreyEnergy песчаным червям?
По данным WithSecure, Kapeka — это новый бэкдор, который злоумышленники могут использовать в качестве инструментария на ранней стадии и для обеспечения долгосрочного присутствия в системе-жертве. Вредоносное ПО включает в себя компонент-дроппер, позволяющий загружать бэкдор на целевой компьютер и затем удалять его. «Kapeka поддерживает все основные функции, которые позволяют ей действовать как гибкий бэкдор в имуществе жертвы», — говорит Мохаммад Казем Хасан Неджад, исследователь WithSecure.
Его возможности включают чтение и запись файлов с диска и на диск, выполнение команд оболочки и запуск вредоносных полезных данных и процессов, включая исполняемые файлы. «После получения первоначального доступа оператор Kapeka может использовать бэкдор для выполнения широкого спектра задач на машине жертвы, таких как обнаружение, развертывание дополнительного вредоносного ПО и организация следующих этапов атаки», — говорит Неджад.
По словам Неджада, WithSecure удалось найти доказательства связи с Sandworm и группировкой. Вредоносное ПО GreyEnergy использовался при атаках на энергосистему Украины в 2018 году. «Мы считаем, что Kapeka может стать заменой GreyEnergy в арсенале Sandworm», — отмечает Неджад. Хотя два образца вредоносного ПО имеют разный исходный код, между Kapeka и GreyEnergy есть некоторые концептуальные совпадения, так же, как были некоторые совпадения между GreyEnergy и его предшественником. BlackEnergy. «Это указывает на то, что Sandworm, возможно, со временем обновили свой арсенал новыми инструментами, чтобы адаптироваться к меняющемуся ландшафту угроз», — говорит Неджад.
Fuxnet: инструмент для разрушения и разрушения
Между тем Бризинов из Clarity идентифицирует Fuxnet как вредоносное ПО для АСУ ТП, предназначенное для нанесения ущерба конкретному сенсорному оборудованию российского производства. Вредоносное ПО предназначено для развертывания на шлюзах, которые отслеживают и собирают данные от физических датчиков пожарной сигнализации, газового мониторинга, освещения и подобных случаев использования.
«Как только вредоносное ПО будет развернуто, оно заблокирует шлюзы, перезаписав свой чип NAND и отключив возможности внешнего удаленного доступа, не позволяя операторам удаленно управлять устройствами», — говорит Бризинов.
Затем отдельный модуль пытается заполнить сами физические датчики бесполезным трафиком M-Bus. M-Bus — это европейский протокол связи для удаленного считывания показаний счетчиков газа, воды, электричества и других приборов. «Одна из основных целей вредоносного ПО Fuxnet ICS от Blackjack — атаковать и уничтожить сами физические датчики после получения доступа к сенсорному шлюзу», — говорит Бризинов. Для этого Blackjack решила обмануть датчики, отправив им неограниченное количество пакетов M-Bus. «По сути, в BlackJack надеялись, что, бесконечно отправляя датчикам случайные пакеты M-Bus, пакеты перегрузят их и потенциально вызовут уязвимость, которая повредит датчики и приведет их в неработоспособное состояние», — говорит он.
Ключевой вывод, который организации могут извлечь из таких атак, — обратить внимание на основы безопасности. Например, компания Blackjack, судя по всему, получила root-доступ к целевым сенсорным шлюзам, злоупотребляя слабыми учетными данными на устройствах. Атака подчеркивает, почему «важно поддерживать хорошую политику паролей, следя за тем, чтобы устройства не использовали одни и те же учетные данные или не использовали учетные данные по умолчанию», — говорит он. «Также важно развернуть хорошую очистку и сегментацию сети, гарантируя, что злоумышленники не смогут перемещаться внутри сети, и развернуть свое вредоносное ПО на всех периферийных устройствах».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
- :является
- :нет
- $UP
- 000
- 1
- 2017
- 2018
- 2022
- 2023
- 7
- 700
- 87
- a
- способность
- в состоянии
- доступ
- активный
- дополнительный
- пострадавших
- После
- против
- Все
- позволять
- причислены
- an
- и
- android
- появляется
- МЫ
- около
- Арсенал
- AS
- At
- атаковать
- нападки
- попытки
- внимание
- задняя дверь
- основной
- Основы
- BE
- было
- до
- верить
- между
- блокирование
- изоферменты печени
- Обе стороны
- шире
- но
- by
- CAN
- возможности
- случаев
- Вызывать
- изменения
- чип
- выбрал
- заявил
- ясность
- код
- собирать
- Связь
- Компания
- компонент
- концептуальный
- конфликт
- подключенный
- связи
- контроль
- управление
- и коррумпированных лиц
- страны
- страна
- Полномочия
- критической
- Критическая инфраструктура
- кибер-
- информационная безопасность
- Кибератака
- повреждение
- опасно
- данным
- По умолчанию
- Защита
- развертывание
- развернуть
- развертывание
- описано
- уничтожить
- развитый
- Устройства
- директор
- инвалид
- открытие
- срывать
- подрывной
- do
- Опустившись
- дублированный
- каждый
- Рано
- ранняя стадия
- восточный
- Восточная Европа
- Edge
- Электрический
- позволяет
- закончился
- бесконечно
- Весь
- средах
- Оборудование
- сущность
- имущество
- эстонский
- Европе
- Европейская кухня
- Даже
- везде
- , поскольку большинство сенаторов
- пример
- Примеры
- проведение
- и, что лучший способ
- осадки
- СПЕЦЦЕНА
- февраль
- Файлы
- Найдите
- Для пожарных
- Фирма
- гибкого
- наводнение
- Что касается
- от
- функциональные возможности
- функциональность
- получила
- получение
- ГАЗ
- шлюз
- шлюзы
- хорошо
- сетка
- группы
- Группы
- хакер
- Есть
- he
- основной момент
- HTTPS
- идентифицирует
- воздействуя
- важную
- in
- включают
- включает в себя
- В том числе
- указывает
- в отдельности
- промышленность
- позорный
- Инфраструктура
- начальный
- внутри
- пример
- предназначенных
- с участием
- IT
- ЕГО
- саму трезвость
- JPG
- всего
- Основные
- пейзаж
- большой
- последний
- запуск
- Освещение
- Вероятно
- связанный
- логистика
- давнишний
- долгосрочный
- машина
- Главная
- в основном
- поддерживает
- Создание
- злонамеренный
- вредоносных программ
- многих
- Май..
- означает,
- Модули
- монитор
- Мониторинг
- Москва
- самых
- двигаться
- национальный
- Национальная безопасность
- НККК
- Необходимость
- сеть
- Новые
- следующий
- примечательный
- Заметки
- роман
- АНБ
- номер
- раз
- of
- on
- консолидировать
- ONE
- те,
- постоянный
- работать
- операционный
- оператор
- Операторы
- or
- организации
- первоначально
- ot
- Другое
- за
- пакеты
- Пароль
- ОПЛАТИТЬ
- Выполнять
- настойчивость
- физический
- Физически
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политика
- постановка
- потенциально
- мощностью
- Энергосистема
- предшественник
- предупреждение
- процесс
- Процессы
- обеспечивает
- плодовитый
- протокол
- целей
- случайный
- ассортимент
- вымогателей
- достигать
- Reading
- последний
- недавно
- остатки
- удаленные
- удаленный доступ
- удаленно
- удаление
- замещать
- замена
- исследованиям
- исследователь
- исследователи
- восстановление
- результат
- корень
- Россия
- русский
- s
- то же
- говорит
- безопасность
- сегментация
- отправка
- датчик
- датчик
- отдельный
- несколько
- Поделиться
- Оболочка
- Стороны
- аналогичный
- с
- So
- некоторые
- в некотором роде
- Источник
- исходный код
- конкретный
- Этап
- этапы
- инсценировка
- и политические лидеры
- Область
- Успешно
- такие
- Поддержка
- Убедитесь
- система
- системы
- цель
- целевое
- направлена против
- задачи
- Технологии
- десятки
- который
- Ассоциация
- их
- Их
- сами
- тогда
- Там.
- Эти
- они
- этой
- На этой неделе
- хоть?
- тысячи
- угроза
- время
- в
- инструментом
- Инструментарий
- инструменты
- Всего
- трафик
- вызвать
- пытается
- два
- Украина
- Ед. изм
- Неограниченный
- повышен
- поддерживать
- использование
- используемый
- бесполезный
- пользователей
- использовать
- разнообразие
- Жертва
- уязвимость
- войны
- Война на Украине
- предупреждал
- законопроект
- Вода
- we
- слабый
- неделя
- ЧТО Ж
- были
- Что
- который
- зачем
- широкий
- будете
- по всему миру
- бы
- письмо
- зефирнет