Kaksi vaarallista haittaohjelmatyökalua, jotka on kohdistettu teollisiin ohjausjärjestelmiin (ICS) ja käyttötekniikan (OT) ympäristöihin Euroopassa, ovat viimeisimmät ilmentymät Ukrainan sodan kyberlaskeumasta.

Yksi työkaluista, nimeltään "Kapeka”, näyttää liittyvän Sandworm, tuottelias Venäjän valtion tukema uhkatoimija, jota Googlen Mandiant-tietoturvaryhmä kuvaili tällä viikolla maan ensisijainen kyberhyökkäysyksikkö Ukrainassa. Suomalaisen WithSecuren turvallisuustutkijat havaitsivat vuonna 2023 virolaista logistiikkayritystä ja muita kohteita Itä-Euroopassa vastaan ​​tehdyissä hyökkäyksissä esiintyneen takaoven ja näkivät sen aktiivisena ja jatkuvana uhkana.

Tuhoisa haittaohjelma

Toinen haittaohjelma - hieman värikkäästi kopioitu Fuxnet — on työkalu, jota Ukrainan hallituksen tukema Blackjack-uhkaryhmä todennäköisesti käytti äskettäisessä tuhoisassa hyökkäyksessä Moskollectoria vastaan, yhtiötä, joka ylläpitää laajaa anturiverkostoa Moskovan viemärijärjestelmän valvontaan. Hyökkääjät käyttivät Fuxnetia onnistuneesti tiiliäkseen, mitä he väittivät olevan yhteensä 1,700 87,000 anturiyhdyskäytävää Moskollectorin verkossa, ja sammuttivat samalla noin XNUMX XNUMX näihin yhdyskäytäviin kytkettyä anturia.

"Fuxnet ICS -haittaohjelman päätoiminto oli anturiyhdyskäytävien korruptoiminen ja pääsyn estäminen ja myös fyysisten antureiden korruptoiminen", sanoo Blackjackin hyökkäystä hiljattain tutkineen ICS-tietoturvayrityksen Clarotyn haavoittuvuustutkimuksen johtaja Sharon Brizinov. Hyökkäyksen seurauksena Moskollectorin on todennäköisesti tavoitettava fyysisesti jokainen tuhansista laitteista ja korvattava ne yksitellen, Brizinov sanoo. "Jotta [Moskollectorin] kyky valvoa ja käyttää viemärijärjestelmää kaikkialla Moskovassa palautetaan, heidän on hankittava ja nollattava koko järjestelmä."

Kapeka ja Fuxnet ovat esimerkkejä Venäjän ja Ukrainan välisen konfliktin laajemmasta kybervaikutuksesta. Siitä lähtien, kun maiden välinen sota alkoi helmikuussa 2022 – ja vielä paljon ennen sitä – molempien osapuolten hakkeriryhmät kehittivät ja käyttivät erilaisia ​​haittaohjelmatyökaluja toisiaan vastaan. Monet työkalut, mukaan lukien pyyhkimet ja kiristysohjelmat, ovat olleet luonteeltaan tuhoisia tai häiritseviä ja kohdistui pääasiassa kriittiseen infrastruktuuriin, ICS- ja OT-ympäristöihin molemmissa maissa.

Mutta useaan otteeseen on tehty iskuja, joissa on käytetty maiden välisen pitkäaikaisen konfliktin synnyttämiä työkaluja vaikutti laajempaan uhrien joukkoon. Merkittävin esimerkki on edelleen NotPetya, haittaohjelmatyökalu, jonka Sandworm-ryhmä alun perin kehitti käytettäväksi Ukrainassa, mutta joka päätyi vaikuttamaan kymmeniin tuhansiin järjestelmiin maailmanlaajuisesti vuonna 2017. Vuonna 2023 Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) ja Yhdysvaltain kansallisen turvallisuusviranomaisen (NSA) varoitti Sandworm-haittaohjelmatyökalusarjasta, jonka nimi on "Infamous Chisel", joka uhkaa Android-käyttäjiä kaikkialla.

Kapeka: Hiekkamatokorvaus GreyEnergylle?

WithSecuren mukaan Kapeka on uusi takaovi, jota hyökkääjät voivat käyttää varhaisen vaiheen työkalupakkina ja mahdollistaakseen pitkäaikaisen pysyvyyden uhrijärjestelmässä. Haittaohjelma sisältää dropper-komponentin, joka pudottaa kohdekoneen takaoven ja poistaa sitten itsensä. "Kapeka tukee kaikkia perustoimintoja, joiden avulla se voi toimia joustavana takaovena uhrin kuolinpesässä", sanoo WithSecuren tutkija Mohammad Kazem Hassan Nejad.

Sen ominaisuuksiin kuuluu tiedostojen lukeminen ja kirjoittaminen levyltä ja levylle, komentotulkkikomentojen suorittaminen ja haitallisten hyötykuormien ja prosessien käynnistäminen, mukaan lukien binaaritiedostot. "Alkuperäisen pääsyn saatuaan Kapekan operaattori voi käyttää takaovea suorittaakseen monenlaisia ​​tehtäviä uhrin koneella, kuten löytääkseen, ottaa käyttöön lisähaittaohjelmia ja toteuttaa hyökkäyksen seuraavat vaiheet", Nejad sanoo.

Nejadin mukaan WithSecure onnistui löytämään todisteita yhteydestä Sandwormiin ja ryhmään GreyEnergy haittaohjelma Käytettiin hyökkäyksissä Ukrainan sähköverkkoon vuonna 2018. "Uskomme, että Kapeka voi korvata GreyEnergyn Sandwormin arsenaalissa", Nejad huomauttaa. Vaikka kaksi haittaohjelmamallia eivät ole peräisin samasta lähdekoodista, Kapekan ja GreyEnergyn välillä on joitain käsitteellisiä päällekkäisyyksiä, aivan kuten GreyEnergyn ja sen edeltäjän välillä oli päällekkäisyyksiä. BlackEnergy. "Tämä osoittaa, että Sandworm on saattanut päivittää arsenaaliaan uusilla työkaluilla ajan myötä sopeutuakseen muuttuvaan uhkamaisemaan", Nejad sanoo.

Fuxnet: työkalu häiritä ja tuhota

Samaan aikaan Clarity's Brizinov tunnistaa Fuxnetin ICS-haittaohjelmaksi, jonka tarkoituksena on vahingoittaa tiettyjä venäläisiä anturilaitteita. Haittaohjelma on tarkoitettu käytettäväksi yhdyskäytävissä, jotka valvovat ja keräävät tietoja fyysisistä antureista palohälytyksiä, kaasunvalvontaa, valaistusta ja vastaavia käyttötapauksia varten.

"Kun haittaohjelma on otettu käyttöön, se estää yhdyskäytävät ylikirjoittamalla NAND-sirunsa ja poistamalla käytöstä ulkoiset etäkäyttöominaisuudet, mikä estää operaattoreita etäohjaamasta laitteita", Brizinov sanoo.  

Erillinen moduuli yrittää sitten täyttää itse fyysiset anturit turhalla M-Bus-liikenteellä. M-Bus on eurooppalainen viestintäprotokolla kaasu-, vesi-, sähkö- ja muiden mittareiden etälukemiseen. "Yksi Blackjackin Fuxnet ICS -haittaohjelmien päätarkoituksista [on] hyökätä ja tuhota itse fyysisiä antureita sen jälkeen, kun ne ovat saaneet pääsyn anturiyhdyskäytävään", Brizinov sanoo. Tätä varten Blackjack päätti hämärtää anturit lähettämällä niille rajoittamattoman määrän M-Bus-paketteja. "Pohjimmiltaan BlackJack toivoi, että lähettämällä anturin satunnaisia ​​M-Bus-paketteja loputtomasti paketit ylittäisivät ne ja mahdollisesti laukaisisivat haavoittuvuuden, joka korruptoisi anturit ja asettaisi ne toimintakelvottomaan tilaan", hän sanoo.

Organisaatioiden keskeinen ote tällaisista hyökkäyksistä on kiinnittää huomiota tietoturvan perusteisiin. Esimerkiksi Blackjack näyttää saaneen pääkäyttäjän oikeudet kohdeanturiyhdyskäytäviin käyttämällä väärin laitteiden heikkoja tunnistetietoja. Hyökkäys korostaa, miksi "on tärkeää noudattaa hyvää salasanakäytäntöä ja varmistaa, että laitteet eivät jaa samoja tunnistetietoja tai käytä oletustunnuksia", hän sanoo. "On myös tärkeää ottaa käyttöön hyvä verkon desinfiointi ja segmentointi, jotta hyökkääjät eivät pysty liikkumaan sivusuunnassa verkon sisällä ja asentamaan haittaohjelmiaan kaikkiin reunalaitteisiin."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine