Generative Datenintelligenz

Cybersicherheit

Gefährliche neue ICS-Malware zielt auf Organisationen in Russland und der Ukraine ab

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 0

Zwei gefährliche Malware-Tools, die auf industrielle Kontrollsysteme (ICS) und Betriebstechnologieumgebungen (OT) in Europa abzielen, sind die jüngsten Manifestationen der Cyber-Folgen des Krieges in der Ukraine.

Eines der Werkzeuge mit dem Namen „Kapeka„“ scheint mit Sandworm in Verbindung zu stehen, einem produktiven russischen, staatlich unterstützten Bedrohungsakteur, den die Mandiant-Sicherheitsgruppe von Google diese Woche als den des Landes bezeichnete wichtigste Einheit für Cyberangriffe in der Ukraine. Sicherheitsforscher des in Finnland ansässigen Unternehmens WithSecure haben die Hintertür bei Angriffen auf ein estnisches Logistikunternehmen und andere Ziele in Osteuropa im Jahr 2023 entdeckt und sehen darin eine aktive und anhaltende Bedrohung.

Zerstörerische Malware

Die andere Malware – etwas farbenfroh benannt Fuxnet – ist ein Tool, das die von der ukrainischen Regierung unterstützte Bedrohungsgruppe Blackjack wahrscheinlich bei einem kürzlichen, zerstörerischen Angriff auf Moskollector eingesetzt hat, einem Unternehmen, das ein großes Netzwerk von Sensoren zur Überwachung des Moskauer Abwassersystems unterhält. Die Angreifer nutzten Fuxnet, um angeblich insgesamt 1,700 Sensor-Gateways im Netzwerk von Moskollector erfolgreich zu blockieren und dabei etwa 87,000 mit diesen Gateways verbundene Sensoren zu deaktivieren.

„Die Hauptfunktion der Fuxnet ICS-Malware bestand darin, den Zugriff auf Sensor-Gateways zu beschädigen und zu blockieren sowie zu versuchen, auch die physischen Sensoren zu beschädigen“, sagt Sharon Brizinov, Leiterin der Schwachstellenforschung beim ICS-Sicherheitsunternehmen Claroty, das kürzlich den Angriff von Blackjack untersucht hat. Als Folge des Angriffs muss Moskollector wahrscheinlich jedes der Tausenden betroffenen Geräte physisch erreichen und einzeln austauschen, sagt Brizinov. „Um die Fähigkeit von [Moskollector] zur Überwachung und zum Betrieb des Abwassersystems in ganz Moskau wiederherzustellen, müssen sie das gesamte System beschaffen und neu einrichten.“

Kapeka und Fuxnet sind Beispiele für die umfassenderen Cyber-Folgen des Konflikts zwischen Russland und der Ukraine. Seit Beginn des Krieges zwischen den beiden Ländern im Februar 2022 – und sogar schon lange davor – haben Hackergruppen beider Seiten eine Reihe von Malware-Tools entwickelt und gegeneinander eingesetzt. Viele der Tools, darunter Wiper und Ransomware, waren destruktiver oder störender Natur und zielte hauptsächlich auf kritische Infrastrukturen, ICS und OT-Umgebungen in beiden Ländern ab.

Doch mehrfach kam es zu Angriffen mit Werkzeugen, die aus dem langjährigen Konflikt zwischen den beiden Ländern hervorgegangen waren betraf einen breiteren Kreis von Opfern. Das bemerkenswerteste Beispiel bleibt NotPetya, ein Malware-Tool, das die Sandworm-Gruppe ursprünglich für den Einsatz in der Ukraine entwickelt hatte, das jedoch im Jahr 2017 Zehntausende Systeme weltweit befiel. Im Jahr 2023 wurde das Das britische National Cyber ​​Security Centre (NCSC) und die US Nationale Sicherheitsagentur (NSA) warnte vor einem Sandworm-Malware-Toolset namens „Infamous Chisel“, das eine Bedrohung für Android-Benutzer auf der ganzen Welt darstellt.

Kapeka: Ein Sandwurm-Ersatz für GreyEnergy?

Laut WithSecure handelt es sich bei Kapeka um eine neuartige Hintertür, die Angreifer als Toolkit für die Frühphase und zur Ermöglichung einer langfristigen Persistenz auf dem System eines Opfers nutzen können. Die Malware enthält eine Dropper-Komponente, um die Hintertür auf einem Zielcomputer abzulegen und sich dann selbst zu entfernen. „Kapeka unterstützt alle Grundfunktionen, die es ihm ermöglichen, als flexible Hintertür im Nachlass des Opfers zu fungieren“, sagt Mohammad Kazem Hassan Nejad, Forscher bei WithSecure.

Zu seinen Fähigkeiten gehören das Lesen und Schreiben von Dateien von und auf die Festplatte, das Ausführen von Shell-Befehlen und das Starten bösartiger Payloads und Prozesse, einschließlich lebender Binärdateien vom Land. „Nachdem der Kapeka-Betreiber den ersten Zugriff erhalten hat, kann er die Hintertür nutzen, um eine Vielzahl von Aufgaben auf dem Computer des Opfers auszuführen, wie z. B. die Entdeckung, die Bereitstellung zusätzlicher Malware und die Durchführung der nächsten Phasen des Angriffs“, sagt Nejad.

Laut Nejad konnte WithSecure Beweise finden, die auf eine Verbindung zu Sandworm und der Gruppe schließen lassen GreyEnergy-Malware bei Angriffen auf das ukrainische Stromnetz im Jahr 2018 eingesetzt. „Wir glauben, dass Kapeka ein Ersatz für GreyEnergy im Arsenal von Sandworm sein könnte“, bemerkt Nejad. Obwohl die beiden Malware-Beispiele nicht aus demselben Quellcode stammen, gibt es einige konzeptionelle Überschneidungen zwischen Kapeka und GreyEnergy, ebenso wie es einige Überschneidungen zwischen GreyEnergy und seinem Vorgänger gab. BlackEnergy. „Dies deutet darauf hin, dass Sandworm sein Arsenal im Laufe der Zeit möglicherweise mit neuen Werkzeugen aufgerüstet hat, um sich an die sich ändernde Bedrohungslandschaft anzupassen“, sagt Nejad.

Fuxnet: Ein Werkzeug zum Unterbrechen und Zerstören

Unterdessen identifiziert Brizinov von Clarity Fuxnet als ICS-Malware, die bestimmte in Russland hergestellte Sensorgeräte beschädigen soll. Die Malware ist für den Einsatz auf Gateways gedacht, die Daten von physischen Sensoren für Feuermelder, Gasüberwachung, Beleuchtung und ähnliche Anwendungsfälle überwachen und sammeln.

„Sobald die Malware eingesetzt wird, blockiert sie die Gateways, indem sie ihren NAND-Chip überschreibt und externe Fernzugriffsfunktionen deaktiviert, wodurch Bediener daran gehindert werden, die Geräte fernzusteuern“, sagt Brizinov.  

Ein separates Modul versucht dann, die physischen Sensoren selbst mit nutzlosem M-Bus-Verkehr zu überfluten. M-Bus ist ein europäisches Kommunikationsprotokoll zur Fernauslesung von Gas-, Wasser-, Strom- und anderen Zählern. „Einer der Hauptzwecke der Fuxnet ICS-Malware von Blackjack besteht darin, die physischen Sensoren selbst anzugreifen und zu zerstören, nachdem sie Zugriff auf das Sensor-Gateway erhalten haben“, sagt Brizinov. Um dies zu erreichen, entschied sich Blackjack dafür, die Sensoren durcheinander zu bringen, indem es ihnen eine unbegrenzte Anzahl von M-Bus-Paketen schickte. „Im Wesentlichen hoffte BlackJack, dass durch das endlose Senden zufälliger M-Bus-Pakete an die Sensoren die Pakete diese überfordern und möglicherweise eine Schwachstelle auslösen würden, die die Sensoren beschädigen und in einen funktionsunfähigen Zustand versetzen würde“, sagt er.

Die wichtigste Erkenntnis für Unternehmen aus solchen Angriffen besteht darin, auf die Sicherheitsgrundlagen zu achten. Blackjack scheint beispielsweise Root-Zugriff auf Ziel-Sensor-Gateways erlangt zu haben, indem es schwache Anmeldeinformationen auf den Geräten missbraucht hat. Der Angriff verdeutlicht, warum es „wichtig ist, eine gute Passwortrichtlinie aufrechtzuerhalten und sicherzustellen, dass Geräte nicht dieselben Anmeldeinformationen verwenden oder Standardanmeldeinformationen verwenden“, sagt er. „Es ist auch wichtig, eine gute Netzwerkbereinigung und -segmentierung bereitzustellen, um sicherzustellen, dass Angreifer nicht in der Lage sind, sich seitlich innerhalb des Netzwerks zu bewegen und ihre Malware auf allen Edge-Geräten bereitzustellen.“

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat mit uns

Hallo! Wie kann ich dir helfen?