Generative Data Intelligence

Κυβερνασφάλεια

Επικίνδυνο νέο κακόβουλο λογισμικό ICS στοχεύει οργανισμούς στη Ρωσία και την Ουκρανία

Αναδημοσίευση από τον Πλάτωνα
Αναδημοσίευση από τον Πλάτωνα

Ημερομηνία:

Εμφανίσεις: 0

Δύο επικίνδυνα εργαλεία κακόβουλου λογισμικού που στοχεύουν σε περιβάλλοντα συστημάτων βιομηχανικού ελέγχου (ICS) και λειτουργικής τεχνολογίας (OT) στην Ευρώπη είναι οι πιο πρόσφατες εκδηλώσεις του κυβερνοχώρου από τον πόλεμο στην Ουκρανία.

Ένα από τα εργαλεία, μεταγλωττισμένο "Καπέκα», φαίνεται να συνδέεται με το Sandworm, έναν παραγωγικό παράγοντα απειλών που υποστηρίζεται από το ρωσικό κράτος, τον οποίο η ομάδα ασφαλείας Mandiant της Google περιέγραψε αυτή την εβδομάδα ως τη χώρα κύρια μονάδα κυβερνοεπιθέσεων στην Ουκρανία. Ερευνητές ασφαλείας από το WithSecure με έδρα τη Φινλανδία εντόπισαν την κερκόπορτα που εμφανίστηκε στις επιθέσεις του 2023 εναντίον μιας Εσθονικής εταιρείας logistics και άλλων στόχων στην Ανατολική Ευρώπη και την αντιλαμβάνονται ως ενεργή και συνεχή απειλή.

Καταστροφικό κακόβουλο λογισμικό

Το άλλο κακόβουλο λογισμικό — μεταγλωττισμένο κάπως πολύχρωμα Fuxnet — είναι ένα εργαλείο που η ομάδα απειλών Blackjack που υποστηρίζεται από την Ουκρανία πιθανότατα χρησιμοποίησε σε μια πρόσφατη, καταστροφική επίθεση κατά της Moskollector, μιας εταιρείας που διατηρεί ένα μεγάλο δίκτυο αισθητήρων για την παρακολούθηση του αποχετευτικού συστήματος της Μόσχας. Οι εισβολείς χρησιμοποίησαν το Fuxnet για να δημιουργήσουν με επιτυχία αυτό που ισχυρίστηκαν ότι ήταν συνολικά 1,700 πύλες αισθητήρων στο δίκτυο του Moskollector και κατά τη διαδικασία απενεργοποίησαν περίπου 87,000 αισθητήρες που ήταν συνδεδεμένοι σε αυτές τις πύλες.

«Η κύρια λειτουργία του κακόβουλου λογισμικού Fuxnet ICS ήταν η καταστροφή και ο αποκλεισμός της πρόσβασης σε πύλες αισθητήρων και η προσπάθεια αλλοίωσης των φυσικών αισθητήρων επίσης», λέει η Sharon Brizinov, διευθύντρια έρευνας ευπάθειας στην εταιρεία ασφαλείας ICS Claroty, η οποία ερεύνησε πρόσφατα την επίθεση του Blackjack. Ως αποτέλεσμα της επίθεσης, το Moskollector πιθανότατα θα πρέπει να φτάσει φυσικά σε καθεμία από τις χιλιάδες επηρεαζόμενες συσκευές και να τις αντικαταστήσει ξεχωριστά, λέει ο Brizinov. «Για να αποκατασταθεί η ικανότητα [της Moskollector] να παρακολουθεί και να λειτουργεί το σύστημα αποχέτευσης σε όλη τη Μόσχα, θα χρειαστεί να προμηθευτεί και να επαναφέρει ολόκληρο το σύστημα».

Το Kapeka και το Fuxnet είναι παραδείγματα των ευρύτερων επιπτώσεων στον κυβερνοχώρο από τη σύγκρουση μεταξύ Ρωσίας και Ουκρανίας. Από τότε που ξεκίνησε ο πόλεμος μεταξύ των δύο χωρών τον Φεβρουάριο του 2022 —και μάλιστα πολύ πριν από αυτό— ομάδες χάκερ και από τις δύο πλευρές ανέπτυξαν και χρησιμοποίησαν μια σειρά εργαλείων κακόβουλου λογισμικού μεταξύ τους. Πολλά από τα εργαλεία, συμπεριλαμβανομένων των υαλοκαθαριστήρων και του ransomware, είχαν καταστροφικό ή διασπαστικό χαρακτήρα και κυρίως στοχευμένες υποδομές ζωτικής σημασίας, περιβάλλοντα ICS και OT και στις δύο χώρες.

Αλλά σε αρκετές περιπτώσεις, επιθέσεις με εργαλεία που προέκυψαν από τη μακροχρόνια σύγκρουση μεταξύ των δύο χωρών έχουν επηρέασε ένα ευρύτερο φάσμα θυμάτων. Το πιο αξιοσημείωτο παράδειγμα παραμένει το NotPetya, ένα εργαλείο κακόβουλου λογισμικού που ανέπτυξε αρχικά η ομάδα Sandworm για χρήση στην Ουκρανία, αλλά το οποίο κατέληξε να επηρεάσει δεκάδες χιλιάδες συστήματα παγκοσμίως το 2017. Το 2023, το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) και το Οργανισμός Εθνικής Ασφαλείας των ΗΠΑ (NSA) προειδοποίησε για ένα σύνολο εργαλείων κακόβουλου λογισμικού Sandworm με την ονομασία «Infamous Chisel» που αποτελεί απειλή για τους χρήστες Android παντού.

Kapeka: Αντικατάσταση Sandworm για GreyEnergy;

Σύμφωνα με το WithSecure, το Kapeka είναι μια νέα κερκόπορτα που μπορούν να χρησιμοποιήσουν οι επιτιθέμενοι ως εργαλειοθήκη πρώιμου σταδίου και για να επιτρέψουν τη μακροπρόθεσμη επιμονή σε ένα σύστημα θυμάτων. Το κακόβουλο λογισμικό περιλαμβάνει ένα συστατικό σταγονόμετρου για την πτώση της κερκόπορτας σε ένα μηχάνημα-στόχο και στη συνέχεια την αφαίρεση του εαυτού του. «Το Kapeka υποστηρίζει όλες τις βασικές λειτουργίες που του επιτρέπουν να λειτουργεί ως μια ευέλικτη κερκόπορτα στην περιουσία του θύματος», λέει ο Mohammad Kazem Hassan Nejad, ερευνητής στο WithSecure.

Οι δυνατότητές του περιλαμβάνουν την ανάγνωση και εγγραφή αρχείων από και προς το δίσκο, την εκτέλεση εντολών φλοιού και την εκκίνηση κακόβουλων ωφέλιμων φορτίων και διεργασιών, συμπεριλαμβανομένων των δυαδικών αρχείων που ζουν εκτός της γης. «Μετά την απόκτηση αρχικής πρόσβασης, ο χειριστής του Kapeka μπορεί να χρησιμοποιήσει την κερκόπορτα για να εκτελέσει μια μεγάλη ποικιλία εργασιών στον υπολογιστή του θύματος, όπως η ανακάλυψη, η ανάπτυξη πρόσθετου κακόβουλου λογισμικού και η προετοιμασία των επόμενων σταδίων της επίθεσής του», λέει ο Nejad.

Σύμφωνα με τον Nejad, το WithSecure κατάφερε να βρει στοιχεία που υποδηλώνουν σύνδεση με το Sandworm και το γκρουπ Κακόβουλο λογισμικό GreyEnergy χρησιμοποιήθηκε σε επιθέσεις στο ηλεκτρικό δίκτυο της Ουκρανίας το 2018. «Πιστεύουμε ότι η Kapeka μπορεί να αντικαταστήσει την GreyEnergy στο οπλοστάσιο της Sandworm», σημειώνει ο Nejad. Αν και τα δύο δείγματα κακόβουλου λογισμικού δεν προέρχονται από τον ίδιο πηγαίο κώδικα, υπάρχουν ορισμένες εννοιολογικές αλληλεπικαλύψεις μεταξύ του Kapeka και του GreyEnergy, όπως και κάποιες επικαλύψεις μεταξύ του GreyEnergy και του προκατόχου του, BlackEnergy. "Αυτό δείχνει ότι η Sandworm μπορεί να έχει αναβαθμίσει το οπλοστάσιό της με νέα εργαλεία με την πάροδο του χρόνου για να προσαρμοστεί στο μεταβαλλόμενο τοπίο απειλών", λέει ο Nejad.

Fuxnet: Ένα εργαλείο για διακοπή και καταστροφή

Εν τω μεταξύ, ο Brizinov της Clarity προσδιορίζει το Fuxnet ως κακόβουλο λογισμικό ICS που προορίζεται να προκαλέσει ζημιά σε συγκεκριμένο εξοπλισμό αισθητήρων ρωσικής κατασκευής. Το κακόβουλο λογισμικό προορίζεται για ανάπτυξη σε πύλες που παρακολουθούν και συλλέγουν δεδομένα από φυσικούς αισθητήρες για συναγερμούς πυρκαγιάς, παρακολούθηση αερίου, φωτισμό και παρόμοιες περιπτώσεις χρήσης.

«Μόλις αναπτυχθεί το κακόβουλο λογισμικό, θα καλύψει τις πύλες αντικαθιστώντας το τσιπ NAND και απενεργοποιώντας τις δυνατότητες εξωτερικής απομακρυσμένης πρόσβασης, αποτρέποντας τους χειριστές από τον απομακρυσμένο έλεγχο των συσκευών», λέει ο Brizinov.  

Στη συνέχεια, μια ξεχωριστή μονάδα επιχειρεί να πλημμυρίσει τους ίδιους τους φυσικούς αισθητήρες με άχρηστη κίνηση M-Bus. Το M-Bus είναι ένα ευρωπαϊκό πρωτόκολλο επικοινωνιών για την απομακρυσμένη ανάγνωση μετρητών αερίου, νερού, ηλεκτρισμού και άλλων. «Ένας από τους κύριους σκοπούς του κακόβουλου λογισμικού Fuxnet ICS του Blackjack [είναι] να επιτεθεί και να καταστρέψει τους ίδιους τους φυσικούς αισθητήρες αφού αποκτήσει πρόσβαση στην πύλη αισθητήρων», λέει ο Brizinov. Για να το κάνει αυτό, το Blackjack επέλεξε να θολώσει τους αισθητήρες στέλνοντάς τους έναν απεριόριστο αριθμό πακέτων M-Bus. «Ουσιαστικά, το BlackJack ήλπιζε ότι στέλνοντας ατελείωτα τυχαία πακέτα M-Bus στον αισθητήρα, τα πακέτα θα τα κατακλύσουν και ενδεχομένως θα προκαλούσαν μια ευπάθεια που θα καταστρέψει τους αισθητήρες και θα τους έβαζε σε μη λειτουργική κατάσταση», λέει.

Η βασική λύση για τους οργανισμούς από τέτοιες επιθέσεις είναι να δώσουν προσοχή στα βασικά στοιχεία ασφάλειας. Το Blackjack, για παράδειγμα, φαίνεται να έχει αποκτήσει πρόσβαση root στις πύλες αισθητήρων στόχων κάνοντας κατάχρηση αδύναμων διαπιστευτηρίων στις συσκευές. Η επίθεση υπογραμμίζει γιατί «είναι σημαντικό να τηρείται μια καλή πολιτική κωδικών πρόσβασης, διασφαλίζοντας ότι οι συσκευές δεν μοιράζονται τα ίδια διαπιστευτήρια ή δεν χρησιμοποιούν προεπιλεγμένα», λέει. «Είναι επίσης σημαντικό να αναπτυχθεί καλή εξυγίανση και τμηματοποίηση δικτύου, διασφαλίζοντας ότι οι εισβολείς δεν θα μπορούν να μετακινηθούν πλευρικά μέσα στο δίκτυο και να αναπτύξουν το κακόβουλο λογισμικό τους σε όλες τις συσκευές αιχμής».

spot_img

Τελευταία Νοημοσύνη

spot_img

Πνευματικά δικαιώματα @ 2024 Plato Technologies Inc.

Συνομιλία με μας

Γεια σου! Πώς μπορώ να σε βοηθήσω?