Hai công cụ phần mềm độc hại nguy hiểm nhắm vào các hệ thống điều khiển công nghiệp (ICS) và môi trường công nghệ vận hành (OT) ở châu Âu là những biểu hiện mới nhất về hậu quả không gian mạng từ cuộc chiến ở Ukraine.
Một trong những công cụ được mệnh danh là “Kapeka,” dường như có liên quan đến Sandworm, một kẻ đe dọa được nhà nước Nga hậu thuẫn mạnh mẽ mà nhóm bảo mật Mandiant của Google trong tuần này mô tả là kẻ tấn công của nước này. đơn vị tấn công mạng chính ở Ukraine. Các nhà nghiên cứu bảo mật từ WithSecure có trụ sở tại Phần Lan đã phát hiện ra cửa hậu đặc trưng trong các cuộc tấn công năm 2023 nhằm vào một công ty hậu cần của Estonia và các mục tiêu khác ở Đông Âu và coi đây là một mối đe dọa đang hoạt động và đang diễn ra.
Phần mềm độc hại phá hoại
Phần mềm độc hại khác — được mệnh danh một cách màu mè Fuxnet — là một công cụ mà nhóm đe dọa Blackjack được chính phủ Ukraine hậu thuẫn có thể đã sử dụng trong một cuộc tấn công mang tính hủy diệt gần đây nhằm vào Moskollector, một công ty duy trì một mạng lưới cảm biến lớn để giám sát hệ thống nước thải của Moscow. Những kẻ tấn công đã sử dụng Fuxnet để phá hủy thành công thứ mà chúng tuyên bố là tổng cộng 1,700 cổng cảm biến trên mạng của Moskollector và trong quá trình này đã vô hiệu hóa khoảng 87,000 cảm biến được kết nối với các cổng này.
Sharon Brizinov, giám đốc nghiên cứu lỗ hổng tại công ty bảo mật ICS Claroty, công ty gần đây đã điều tra cuộc tấn công của Blackjack, cho biết: “Chức năng chính của phần mềm độc hại Fuxnet ICS là làm hỏng và chặn quyền truy cập vào các cổng cảm biến, đồng thời cố gắng làm hỏng các cảm biến vật lý”. Brizinov cho biết, do cuộc tấn công, Moskollector có thể sẽ phải tiếp cận từng thiết bị trong số hàng nghìn thiết bị bị ảnh hưởng và thay thế chúng riêng lẻ. “Để khôi phục khả năng giám sát và vận hành hệ thống thoát nước xung quanh Moscow của [Moskollector], họ sẽ cần mua sắm và thiết lập lại toàn bộ hệ thống.”
Kapeka và Fuxnet là những ví dụ về hậu quả không gian mạng rộng lớn hơn từ cuộc xung đột giữa Nga và Ukraine. Kể từ khi cuộc chiến giữa hai nước bắt đầu vào tháng 2022 năm XNUMX — và thậm chí trước đó — các nhóm hacker của cả hai bên đã phát triển và sử dụng một loạt công cụ phần mềm độc hại để chống lại nhau. Nhiều công cụ, bao gồm cả trình xóa và phần mềm tống tiền, đã bị phá hủy hoặc gây rối về bản chất và chủ yếu nhắm vào cơ sở hạ tầng quan trọng, môi trường ICS và OT ở cả hai quốc gia.
Nhưng trong một số trường hợp, các cuộc tấn công liên quan đến công cụ xuất phát từ cuộc xung đột lâu dài giữa hai nước đã xảy ra. ảnh hưởng đến nhiều nạn nhân hơn. Ví dụ đáng chú ý nhất vẫn là NotPetya, một công cụ phần mềm độc hại mà nhóm Sandworm ban đầu phát triển để sử dụng ở Ukraine, nhưng cuối cùng đã ảnh hưởng đến hàng chục nghìn hệ thống trên toàn thế giới vào năm 2017. Vào năm 2023, Trung tâm An ninh mạng Quốc gia Vương quốc Anh (NCSC) và Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã cảnh báo về bộ công cụ phần mềm độc hại Sandworm có tên là “Infamous Chisel” gây ra mối đe dọa cho người dùng Android ở khắp mọi nơi.
Kapeka: Sự thay thế giun cát cho GreyEnergy?
Theo WithSecure, Kapeka là một cửa hậu mới mà kẻ tấn công có thể sử dụng làm bộ công cụ ở giai đoạn đầu và cho phép tồn tại lâu dài trên hệ thống nạn nhân. Phần mềm độc hại bao gồm một thành phần nhỏ giọt để thả cửa hậu vào máy mục tiêu và sau đó tự xóa chính nó. Mohammad Kazem Hassan Nejad, nhà nghiên cứu tại WithSecure cho biết: “Kapeka hỗ trợ tất cả các chức năng cơ bản cho phép nó hoạt động như một cửa sau linh hoạt trong khu vực của nạn nhân”.
Các khả năng của nó bao gồm đọc và ghi các tệp từ và vào đĩa, thực thi các lệnh shell cũng như khởi chạy các tải trọng và quy trình độc hại, bao gồm cả các tệp nhị phân sống ngoài đất liền. Nejad cho biết: “Sau khi có được quyền truy cập ban đầu, kẻ điều hành Kapeka có thể sử dụng cửa sau để thực hiện nhiều tác vụ khác nhau trên máy của nạn nhân, chẳng hạn như phát hiện, triển khai phần mềm độc hại bổ sung và dàn dựng các giai đoạn tấn công tiếp theo của chúng”.
Theo Nejad, WithSecure đã có thể tìm thấy bằng chứng cho thấy mối liên hệ với Sandworm và nhóm Phần mềm độc hại GreyEnergy được sử dụng trong các cuộc tấn công vào lưới điện của Ukraine vào năm 2018. “Chúng tôi tin rằng Kapeka có thể là sự thay thế cho GreyEnergy trong kho vũ khí của Sandworm,” Nejad lưu ý. Mặc dù hai mẫu phần mềm độc hại không có nguồn gốc từ cùng một mã nguồn, nhưng có một số điểm trùng lặp về khái niệm giữa Kapeka và GreyEnergy, cũng như có một số điểm trùng lặp giữa GreyEnergy và phiên bản tiền nhiệm của nó, BlackEnergy. “Điều này cho thấy rằng Sandworm có thể đã nâng cấp kho vũ khí của họ với công cụ mới theo thời gian để thích ứng với bối cảnh mối đe dọa đang thay đổi,” Nejad nói.
Fuxnet: Một công cụ để phá vỡ và tiêu diệt
Trong khi đó, Brizinov của Clarity xác định Fuxnet là phần mềm độc hại ICS nhằm mục đích gây thiệt hại cho các thiết bị cảm biến cụ thể do Nga sản xuất. Phần mềm độc hại này nhằm mục đích triển khai trên các cổng giám sát và thu thập dữ liệu từ các cảm biến vật lý để báo cháy, giám sát khí, chiếu sáng và các trường hợp sử dụng tương tự.
Brizinov cho biết: “Sau khi phần mềm độc hại được triển khai, nó sẽ chặn các cổng bằng cách ghi đè chip NAND và vô hiệu hóa khả năng truy cập từ xa bên ngoài, ngăn cản người vận hành điều khiển thiết bị từ xa”.
Sau đó, một mô-đun riêng biệt sẽ cố gắng làm ngập các cảm biến vật lý bằng lưu lượng M-Bus vô dụng. M-Bus là một giao thức truyền thông của Châu Âu để đọc từ xa các đồng hồ đo gas, nước, điện và các đồng hồ khác. Brizinov cho biết: “Một trong những mục đích chính của phần mềm độc hại Fuxnet ICS của Blackjack là tấn công và phá hủy chính các cảm biến vật lý sau khi có được quyền truy cập vào cổng cảm biến”. Để làm như vậy, Blackjack đã chọn làm mờ các cảm biến bằng cách gửi cho chúng số lượng gói M-Bus không giới hạn. “Về bản chất, BlackJack hy vọng rằng bằng cách gửi liên tục các gói M-Bus ngẫu nhiên cho cảm biến, các gói này sẽ tràn ngập chúng và có khả năng gây ra lỗ hổng làm hỏng cảm biến và khiến chúng ở trạng thái không thể hoạt động,” anh nói.
Bài học quan trọng mà các tổ chức cần rút ra từ những cuộc tấn công như vậy là chú ý đến những vấn đề cơ bản về bảo mật. Ví dụ: Blackjack dường như đã giành được quyền truy cập root vào các cổng cảm biến mục tiêu bằng cách lạm dụng thông tin xác thực yếu trên thiết bị. Cuộc tấn công nêu bật lý do tại sao việc “duy trì chính sách mật khẩu tốt là điều quan trọng, đảm bảo các thiết bị không dùng chung thông tin xác thực hoặc sử dụng thông tin mặc định”, ông nói. “Điều quan trọng nữa là phải triển khai phân đoạn và vệ sinh mạng tốt, đảm bảo rằng những kẻ tấn công sẽ không thể di chuyển ngang trong mạng và triển khai phần mềm độc hại của chúng tới tất cả các thiết bị biên.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
- :là
- :không phải
- $ LÊN
- 000
- 1
- 2017
- 2018
- 2022
- 2023
- 7
- 700
- 87
- a
- có khả năng
- Có khả năng
- truy cập
- hoạt động
- thêm vào
- bị ảnh hưởng
- Sau
- chống lại
- Tất cả
- cho phép
- Ngoài ra
- an
- và
- Android
- xuất hiện
- LÀ
- xung quanh
- Arsenal
- AS
- At
- tấn công
- Các cuộc tấn công
- Nỗ lực
- sự chú ý
- cửa sau
- cơ bản
- Khái niệm cơ bản
- BE
- được
- trước
- Tin
- giữa
- ngăn chặn
- cả hai
- Cả hai mặt
- rộng hơn
- nhưng
- by
- CAN
- khả năng
- trường hợp
- Nguyên nhân
- thay đổi
- Chip
- chọn
- tuyên bố
- rõ ràng
- mã
- thu thập
- Truyền thông
- công ty
- thành phần
- khái niệm
- xung đột
- kết nối
- liên quan
- điều khiển
- kiểm soát
- hư hỏng
- nước
- đất nước
- Credentials
- quan trọng
- Cơ sở hạ tầng quan trọng
- không gian mạng
- an ninh mạng
- Tấn công mạng
- hư hại
- Nguy hiểm
- dữ liệu
- Mặc định
- Phòng thủ
- triển khai
- triển khai
- triển khai
- mô tả
- phá hủy
- phát triển
- Thiết bị (Devices)
- Giám đốc
- bị vô hiệu hóa
- phát hiện
- Làm gián đoạn
- gây rối
- do
- Rơi
- được mệnh danh là
- mỗi
- Đầu
- giai đoạn đầu
- phía đông
- Đông Âu
- Cạnh
- Điện
- cho phép
- kết thúc
- không ngừng
- Toàn bộ
- môi trường
- Trang thiết bị
- bản chất
- bất động sản
- estonian
- Châu Âu
- Châu Âu
- Ngay cả
- ở khắp mọi nơi
- bằng chứng
- ví dụ
- ví dụ
- thi hành
- ngoài
- bụi phóng xạ
- đặc sắc
- Tháng Hai
- Các tập tin
- Tìm kiếm
- Lửa
- Công ty
- linh hoạt
- lũ lụt
- Trong
- từ
- chức năng
- chức năng
- đạt được
- đạt được
- GAS
- cửa ngõ
- cổng
- tốt
- lưới
- Nhóm
- Các nhóm
- của hacker
- Có
- he
- nổi bật
- HTTPS
- xác định
- tác động
- quan trọng
- in
- bao gồm
- bao gồm
- Bao gồm
- chỉ
- Cá nhân
- công nghiệp
- ô nhục
- Cơ sở hạ tầng
- ban đầu
- trong
- ví dụ
- dự định
- liên quan đến
- IT
- ITS
- chính nó
- jpg
- chỉ
- Key
- cảnh quan
- lớn
- mới nhất
- ra mắt
- Thắp sáng
- Có khả năng
- liên kết
- hậu cần
- lâu đời
- lâu
- máy
- Chủ yếu
- phần lớn
- duy trì
- Làm
- độc hại
- phần mềm độc hại
- nhiều
- Có thể..
- có nghĩa là
- Mô-đun
- Màn Hình
- giám sát
- Moscow
- hầu hết
- di chuyển
- quốc dân
- An ninh quốc gia
- NCSC
- Cần
- mạng
- Mới
- tiếp theo
- Nổi bật
- Chú ý
- tiểu thuyết
- nsa
- con số
- dịp
- of
- on
- hàng loạt
- ONE
- những
- đang diễn ra
- hoạt động
- hoạt động
- nhà điều hành
- khai thác
- or
- tổ chức
- ban đầu
- ot
- Nền tảng khác
- kết thúc
- gói
- Mật khẩu
- Trả
- Thực hiện
- kiên trì
- vật lý
- Thể chất
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điều luật
- đặt ra
- có khả năng
- quyền lực
- Mạng lưới điện
- người tiền nhiệm
- ngăn chặn
- quá trình
- Quy trình
- cung cấp
- phong phú
- giao thức
- mục đích
- ngẫu nhiên
- phạm vi
- ransomware
- đạt
- Reading
- gần đây
- gần đây
- vẫn còn
- xa
- truy cập từ xa
- từ xa
- loại bỏ
- thay thế
- thay thế
- nghiên cứu
- nhà nghiên cứu
- nhà nghiên cứu
- khôi phục
- kết quả
- nguồn gốc
- Nga
- người Nga
- s
- tương tự
- nói
- an ninh
- phân khúc
- gửi
- cảm biến
- cảm biến
- riêng biệt
- một số
- Chia sẻ
- Shell
- Sides
- tương tự
- kể từ khi
- So
- một số
- phần nào
- nguồn
- mã nguồn
- riêng
- Traineeship
- giai đoạn
- dàn dựng
- bắt đầu
- Tiểu bang
- Thành công
- như vậy
- Hỗ trợ
- chắc chắn
- hệ thống
- hệ thống
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- nhiệm vụ
- Công nghệ
- hàng chục
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- tự
- sau đó
- Đó
- Kia là
- họ
- điều này
- tuần này
- Tuy nhiên?
- hàng ngàn
- mối đe dọa
- thời gian
- đến
- công cụ
- bộ công cụ
- công cụ
- Tổng số:
- giao thông
- kích hoạt
- cố gắng
- hai
- Ukraina
- đơn vị
- vô hạn
- nâng cấp
- Ưu tiên
- sử dụng
- đã sử dụng
- vô dụng
- Người sử dụng
- sử dụng
- nhiều
- nạn nhân
- dễ bị tổn thương
- chiến tranh
- Chiến tranh ở Ukraine
- cảnh báo
- là
- Nước
- we
- yếu
- tuần
- TỐT
- là
- Điều gì
- cái nào
- tại sao
- rộng
- sẽ
- với
- khắp thế giới
- sẽ
- viết
- zephyrnet