Новое опасное вредоносное ПО для АСУ ТП нацелено на организации в России и Украине

Два опасных вредоносных инструмента, нацеленных на промышленные системы управления (ICS) и операционные технологии (OT) в Европе, являются последними проявлениями кибер-последствий войны в Украине.

Один из инструментов, получивший название «Капека», судя по всему, связан с Sandworm, плодовитым российским злоумышленником, поддерживаемым государством, которого группа безопасности Google Mandiant на этой неделе назвала основное подразделение по кибератакам в Украине. Исследователи безопасности из финской компании WithSecure обнаружили бэкдор, использованный в атаках на эстонскую логистическую компанию и другие цели в Восточной Европе в 2023 году, и восприняли его как активную и постоянную угрозу.

Разрушительное вредоносное ПО

Другая вредоносная программа, получившая несколько красочное название Фукснет — это инструмент, который поддерживаемая правительством Украины группа угроз Blackjack, вероятно, использовала в недавней разрушительной атаке на Москоллектор, компанию, которая поддерживает большую сеть датчиков для мониторинга канализационной системы Москвы. Злоумышленники использовали Fuxnet, чтобы успешно вывести из строя 1,700 сенсорных шлюзов в сети Москоллектора и в процессе вывести из строя около 87,000 XNUMX датчиков, подключенных к этим шлюзам.

«Основной функциональностью вредоносного ПО Fuxnet ICS было повреждение и блокирование доступа к сенсорным шлюзам, а также попытка вывести из строя физические датчики», — говорит Шэрон Бризинов, директор по исследованию уязвимостей компании Claroty, занимающейся безопасностью ICS, которая недавно расследовала атаку Blackjack. По словам Бризинова, в результате атаки Москоллектору, скорее всего, придется физически добраться до каждого из тысяч пострадавших устройств и заменить их по отдельности. «Чтобы восстановить способность [Москоллектора] контролировать и эксплуатировать канализационную систему по всей Москве, им необходимо будет закупить и перезагрузить всю систему».

Капека и Fuxnet являются примерами более масштабных кибер-последствий конфликта между Россией и Украиной. С тех пор, как в феврале 2022 года началась война между двумя странами — и даже задолго до этого — хакерские группы с обеих сторон разработали и использовали ряд вредоносных программ друг против друга. Многие инструменты, включая программы-вымогатели и программы-вымогатели, носили деструктивный или разрушительный характер и в основном нацелены на критическую инфраструктуру, АСУ ТП и ОТ-среды в обеих странах.

Однако в ряде случаев атаки с использованием инструментов, порожденных давним конфликтом между двумя странами, имели затронул более широкий круг жертв. Наиболее ярким примером остается NotPetya, вредоносное ПО, которое группа Sandworm изначально разработала для использования в Украине, но которое в конечном итоге затронуло десятки тысяч систем по всему миру в 2017 году. В 2023 году Национальный центр кибербезопасности Великобритании (NCSC) и Агентство национальной безопасности США (АНБ) предупредило о наборе вредоносных программ Sandworm, получившем название «Infamous Chisel», представляющем угрозу для пользователей Android во всем мире.

Капека: замена GreyEnergy песчаным червям?

По данным WithSecure, Kapeka — это новый бэкдор, который злоумышленники могут использовать в качестве инструментария на ранней стадии и для обеспечения долгосрочного присутствия в системе-жертве. Вредоносное ПО включает в себя компонент-дроппер, позволяющий загружать бэкдор на целевой компьютер и затем удалять его. «Kapeka поддерживает все основные функции, которые позволяют ей действовать как гибкий бэкдор в имуществе жертвы», — говорит Мохаммад Казем Хасан Неджад, исследователь WithSecure.

Его возможности включают чтение и запись файлов с диска и на диск, выполнение команд оболочки и запуск вредоносных полезных данных и процессов, включая исполняемые файлы. «После получения первоначального доступа оператор Kapeka может использовать бэкдор для выполнения широкого спектра задач на машине жертвы, таких как обнаружение, развертывание дополнительного вредоносного ПО и организация следующих этапов атаки», — говорит Неджад.

По словам Неджада, WithSecure удалось найти доказательства связи с Sandworm и группировкой. Вредоносное ПО GreyEnergy использовался при атаках на энергосистему Украины в 2018 году. «Мы считаем, что Kapeka может стать заменой GreyEnergy в арсенале Sandworm», — отмечает Неджад. Хотя два образца вредоносного ПО имеют разный исходный код, между Kapeka и GreyEnergy есть некоторые концептуальные совпадения, так же, как были некоторые совпадения между GreyEnergy и его предшественником. BlackEnergy. «Это указывает на то, что Sandworm, возможно, со временем обновили свой арсенал новыми инструментами, чтобы адаптироваться к меняющемуся ландшафту угроз», — говорит Неджад.

Fuxnet: инструмент для разрушения и разрушения

Между тем Бризинов из Clarity идентифицирует Fuxnet как вредоносное ПО для АСУ ТП, предназначенное для нанесения ущерба конкретному сенсорному оборудованию российского производства. Вредоносное ПО предназначено для развертывания на шлюзах, которые отслеживают и собирают данные от физических датчиков пожарной сигнализации, газового мониторинга, освещения и подобных случаев использования.

«Как только вредоносное ПО будет развернуто, оно заблокирует шлюзы, перезаписав свой чип NAND и отключив возможности внешнего удаленного доступа, не позволяя операторам удаленно управлять устройствами», — говорит Бризинов.  

Затем отдельный модуль пытается заполнить сами физические датчики бесполезным трафиком M-Bus. M-Bus — это европейский протокол связи для удаленного считывания показаний счетчиков газа, воды, электричества и других приборов. «Одна из основных целей вредоносного ПО Fuxnet ICS от Blackjack — атаковать и уничтожить сами физические датчики после получения доступа к сенсорному шлюзу», — говорит Бризинов. Для этого Blackjack решила обмануть датчики, отправив им неограниченное количество пакетов M-Bus. «По сути, в BlackJack надеялись, что, бесконечно отправляя датчикам случайные пакеты M-Bus, пакеты перегрузят их и потенциально вызовут уязвимость, которая повредит датчики и приведет их в неработоспособное состояние», — говорит он.

Ключевой вывод, который организации могут извлечь из таких атак, — обратить внимание на основы безопасности. Например, компания Blackjack, судя по всему, получила root-доступ к целевым сенсорным шлюзам, злоупотребляя слабыми учетными данными на устройствах. Атака подчеркивает, почему «важно поддерживать хорошую политику паролей, следя за тем, чтобы устройства не использовали одни и те же учетные данные или не использовали учетные данные по умолчанию», — говорит он. «Также важно развернуть хорошую очистку и сегментацию сети, гарантируя, что злоумышленники не смогут перемещаться внутри сети, и развернуть свое вредоносное ПО на всех периферийных устройствах».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine