Intelligenza generativa dei dati

Cyber ​​Security

Il nuovo pericoloso malware ICS prende di mira le organizzazioni in Russia e Ucraina

Ripubblicato da Platone
Ripubblicato da Platone

Data:

Visualizzazioni: 0

Due pericolosi strumenti malware mirati agli ambienti dei sistemi di controllo industriale (ICS) e delle tecnologie operative (OT) in Europa sono le ultime manifestazioni delle ricadute informatiche della guerra in Ucraina.

Uno degli strumenti, soprannominato “Kapeka", sembra collegato a Sandworm, un prolifico attore di minacce sostenuto dallo stato russo che il gruppo di sicurezza Mandiant di Google questa settimana ha descritto come il principale unità di attacco informatico in Ucraina. I ricercatori di sicurezza della società finlandese WithSecure hanno individuato la backdoor presente negli attacchi del 2023 contro un’azienda logistica estone e altri obiettivi nell’Europa orientale e la percepiscono come una minaccia attiva e continua.

Malware distruttivo

L'altro malware, soprannominato in modo un po' colorito Fuxnet - è uno strumento che il gruppo minaccioso Blackjack, sostenuto dal governo ucraino, probabilmente ha utilizzato in un recente attacco distruttivo contro Moskollector, una società che mantiene un'ampia rete di sensori per il monitoraggio del sistema fognario di Mosca. Gli aggressori hanno utilizzato Fuxnet per bloccare con successo quelli che secondo loro erano un totale di 1,700 gateway di sensori sulla rete di Moskollector e nel processo hanno disabilitato circa 87,000 sensori collegati a questi gateway.

"La funzionalità principale del malware Fuxnet ICS consisteva nel corrompere e bloccare l'accesso ai gateway dei sensori, tentando di corrompere anche i sensori fisici", afferma Sharon Brizinov, direttore della ricerca sulle vulnerabilità presso la società di sicurezza ICS Claroty, che ha recentemente indagato sull'attacco di Blackjack. A seguito dell’attacco, Moskollector dovrà probabilmente raggiungere fisicamente ciascuno delle migliaia di dispositivi interessati e sostituirli individualmente, afferma Brizinov. “Per ripristinare la capacità [di Moskollector] di monitorare e gestire il sistema fognario in tutta Mosca, dovranno procurarsi e ripristinare l’intero sistema”.

Kapeka e Fuxnet sono esempi delle più ampie ricadute informatiche del conflitto tra Russia e Ucraina. Da quando è iniziata la guerra tra i due paesi nel febbraio 2022, e anche molto prima, i gruppi di hacker di entrambe le parti hanno sviluppato e utilizzato una serie di strumenti malware gli uni contro gli altri. Molti degli strumenti, inclusi wiper e ransomware, sono stati di natura distruttiva o distruttiva e ha preso di mira principalmente infrastrutture critiche, ICS e ambienti OT in entrambi i paesi.

Ma in diverse occasioni si sono verificati attacchi che coinvolgevano strumenti derivanti dal conflitto di lunga data tra i due paesi ha colpito una fascia più ampia di vittime. L’esempio più notevole rimane NotPetya, uno strumento malware che il gruppo Sandworm ha originariamente sviluppato per essere utilizzato in Ucraina, ma che ha finito per colpire decine di migliaia di sistemi in tutto il mondo nel 2017. Nel 2023, il National Cyber ​​Security Center del Regno Unito (NCSC) e il US National Security Agency (NSA) ha avvertito di un set di strumenti malware Sandworm soprannominato "Infamous Chisel" che rappresenta una minaccia per gli utenti Android di tutto il mondo.

Kapeka: un sostituto dei vermi della sabbia per GreyEnergy?

Secondo WithSecure, Kapeka è una nuova backdoor che gli aggressori possono utilizzare come toolkit in fase iniziale e per consentire la persistenza a lungo termine sul sistema vittima. Il malware include un componente dropper per rilasciare la backdoor su un computer di destinazione e quindi rimuoversi. "Kapeka supporta tutte le funzionalità di base che gli consentono di operare come una backdoor flessibile nel patrimonio della vittima", afferma Mohammad Kazem Hassan Nejad, ricercatore presso WithSecure.

Le sue capacità includono la lettura e la scrittura di file da e su disco, l'esecuzione di comandi shell e il lancio di payload e processi dannosi, inclusi file binari che vivono fuori terra. "Dopo aver ottenuto l'accesso iniziale, l'operatore di Kapeka può utilizzare la backdoor per eseguire un'ampia gamma di attività sul computer della vittima, come il rilevamento, l'implementazione di malware aggiuntivo e l'organizzazione delle fasi successive dell'attacco", afferma Nejad.

Secondo Nejad, WithSecure è riuscito a trovare prove che suggeriscono un collegamento con Sandworm e il gruppo Malware GreyEnergy utilizzato negli attacchi alla rete elettrica ucraina nel 2018. "Crediamo che Kapeka possa sostituire GreyEnergy nell'arsenale di Sandworm", osserva Nejad. Sebbene i due campioni di malware non provengano dallo stesso codice sorgente, ci sono alcune sovrapposizioni concettuali tra Kapeka e GreyEnergy, così come c'erano alcune sovrapposizioni tra GreyEnergy e il suo predecessore, BlackEnergy. “Ciò indica che Sandworm potrebbe aver aggiornato il proprio arsenale con nuovi strumenti nel corso del tempo per adattarsi al mutevole panorama delle minacce”, afferma Nejad.

Fuxnet: uno strumento per sconvolgere e distruggere

Nel frattempo, Brizinov di Clarity identifica Fuxnet come malware ICS destinato a causare danni a specifiche apparecchiature di sensori di fabbricazione russa. Il malware è pensato per la distribuzione su gateway che monitorano e raccolgono dati da sensori fisici per allarmi antincendio, monitoraggio del gas, illuminazione e casi d'uso simili.

"Una volta distribuito, il malware bloccherà i gateway sovrascrivendo il chip NAND e disabilitando le funzionalità di accesso remoto esterno, impedendo agli operatori di controllare da remoto i dispositivi", afferma Brizinov.  

Un modulo separato tenta quindi di inondare i sensori fisici stessi con traffico M-Bus inutile. M-Bus è un protocollo di comunicazione europeo per la lettura remota di contatori di gas, acqua, elettricità e altro. "Uno degli scopi principali del malware Fuxnet ICS di Blackjack [è] attaccare e distruggere i sensori fisici stessi dopo aver ottenuto l'accesso al gateway del sensore", afferma Brizinov. Per fare ciò, Blackjack ha scelto di disturbare i sensori inviando loro un numero illimitato di pacchetti M-Bus. "In sostanza, BlackJack sperava che inviando all'infinito al sensore pacchetti M-Bus casuali, i pacchetti li avrebbero sopraffatti e potenzialmente avrebbero innescato una vulnerabilità che avrebbe danneggiato i sensori e li avrebbe messi in uno stato inutilizzabile", dice.

La chiave per affrontare tali attacchi per le organizzazioni è prestare attenzione agli aspetti fondamentali della sicurezza. Il blackjack, ad esempio, sembra aver ottenuto l'accesso root ai gateway di sensori target abusando di credenziali deboli sui dispositivi. L’attacco evidenzia perché “è importante sostenere una buona politica in materia di password, assicurandosi che i dispositivi non condividano le stesse credenziali o utilizzino quelle predefinite”, afferma. “È anche importante implementare una buona sanificazione e segmentazione della rete, assicurandosi che gli aggressori non siano in grado di spostarsi lateralmente all’interno della rete e distribuire il proprio malware su tutti i dispositivi edge”.

spot_img

L'ultima intelligenza

spot_img

Copyright @ 2024 Plato Technologies Inc.

Parla con noi

Ciao! Come posso aiutarla?