Farlig ny ICS-malware retter seg mot organisasjoner i Russland og Ukraina

To farlige skadevareverktøy rettet mot industrielle kontrollsystemer (ICS) og driftsteknologi (OT) miljøer i Europa er de siste manifestasjonene av cybernedfallet fra krigen i Ukraina.

Et av verktøyene, kalt "Kapeka", ser ut til å være knyttet til Sandworm, en produktiv russisk statsstøttet trusselaktør som Googles sikkerhetsgruppe Mandiant denne uken beskrev som landets primær enhet for cyberangrep i Ukraina. Sikkerhetsforskere fra Finland-baserte WithSecure oppdaget bakdøren i 2023-angrepene mot et estisk logistikkselskap og andre mål i Øst-Europa og oppfatter det som en aktiv og pågående trussel.

Destruktiv skadelig programvare

Den andre skadevare - noe fargerikt dubbet Fuxnet — er et verktøy som den ukrainske regjeringsstøttede trusselgruppen Blackjack sannsynligvis brukte i et nylig destruktivt angrep mot Moskollector, et selskap som vedlikeholder et stort nettverk av sensorer for å overvåke Moskvas kloakksystem. Angriperne brukte Fuxnet for å lykkes med å mure det de hevdet var totalt 1,700 sensor-gatewayer på Moskollectors nettverk og deaktiverte i prosessen rundt 87,000 sensorer koblet til disse gatewayene.

"Hovedfunksjonaliteten til Fuxnet ICS malware var å korrumpere og blokkere tilgang til sensorgatewayer, og prøve å ødelegge de fysiske sensorene også," sier Sharon Brizinov, direktør for sårbarhetsforskning hos ICS-sikkerhetsfirmaet Claroty, som nylig undersøkte Blackjacks angrep. Som et resultat av angrepet vil Moskollector sannsynligvis måtte fysisk nå hver av de tusenvis av berørte enhetene og erstatte dem individuelt, sier Brizinov. "For å gjenopprette [Moskollectors] evne til å overvåke og drifte kloakksystemet rundt hele Moskva, må de anskaffe og tilbakestille hele systemet."

Kapeka og Fuxnet er eksempler på det bredere cybernedfallet fra konflikten mellom Russland og Ukraina. Siden krigen mellom de to landene startet i februar 2022 – og til og med godt før det – utviklet og brukte hackergrupper fra begge sider en rekke skadevareverktøy mot hverandre. Mange av verktøyene, inkludert vindusviskere og løsepengeprogramvare, har vært ødeleggende eller forstyrrende og hovedsakelig målrettet kritisk infrastruktur, ICS og OT-miljøer i begge land.

Men ved flere anledninger har angrep med verktøy skapt fra den langvarige konflikten mellom de to landene påvirket et bredere utvalg av ofre. Det mest bemerkelsesverdige eksemplet er NotPetya, et skadelig programvareverktøy som Sandworm-gruppen opprinnelig utviklet for bruk i Ukraina, men som endte opp med å påvirke titusenvis av systemer over hele verden i 2017. I 2023 Storbritannias nasjonale cybersikkerhetssenter (NCSC) og USAs nasjonale sikkerhetsbyrå (NSA) advarte om et Sandworm malware-verktøysett kalt "Infamous Chisel" som utgjør en trussel mot Android-brukere overalt.

Kapeka: En Sandorm-erstatning for GreyEnergy?

Ifølge WithSecure er Kapeka en ny bakdør som angripere kan bruke som et verktøysett på tidlig stadium og for å muliggjøre langsiktig utholdenhet på et offersystem. Skadevaren inkluderer en dropper-komponent for å slippe bakdøren på en målmaskin og deretter fjerne seg selv. "Kapeka støtter alle grunnleggende funksjoner som gjør at den kan fungere som en fleksibel bakdør i offerets eiendom," sier Mohammad Kazem Hassan Nejad, en forsker ved WithSecure.

Dens evner inkluderer lesing og skriving av filer fra og til disk, utføring av skallkommandoer og lansering av ondsinnede nyttelaster og prosesser inkludert levende-off-the-land binærfiler. "Etter å ha fått innledende tilgang, kan Kapekas operatør bruke bakdøren til å utføre et bredt spekter av oppgaver på offerets maskin, for eksempel oppdagelse, utplassering av ytterligere skadelig programvare og iscenesettelse av neste stadier av angrepet," sier Nejad.

Ifølge Nejad var WithSecure i stand til å finne bevis som tyder på en forbindelse til Sandworm og gruppens GreyEnergy malware brukt i angrep på Ukrainas strømnett i 2018. "Vi tror Kapeka kan være en erstatning for GreyEnergy i Sandworms arsenal," bemerker Nejad. Selv om de to malware-eksemplene ikke stammer fra samme kildekode, er det noen konseptuelle overlappinger mellom Kapeka og GreyEnergy, akkurat som det var noen overlappinger mellom GreyEnergy og forgjengeren, BlackEnergy. "Dette indikerer at Sandworm kan ha oppgradert arsenalet sitt med nytt verktøy over tid for å tilpasse seg det endrede trussellandskapet," sier Nejad.

Fuxnet: Et verktøy for å forstyrre og ødelegge

I mellomtiden identifiserer Claritys Brizinov Fuxnet som ICS malware ment å forårsake skade på spesifikt russiskprodusert sensorutstyr. Skadevaren er ment for distribusjon på gatewayer som overvåker og samler inn data fra fysiske sensorer for brannalarmer, gassovervåking, belysning og lignende brukstilfeller.

"Når skadelig programvare er distribuert, vil den mursteine portene ved å overskrive NAND-brikken og deaktivere eksterne fjerntilgangsmuligheter, og hindre operatører i å fjernstyre enhetene," sier Brizinov.

En egen modul forsøker deretter å oversvømme de fysiske sensorene selv med ubrukelig M-Bus-trafikk. M-Bus er en europeisk kommunikasjonsprotokoll for fjernlesing av gass, vann, elektrisk og andre målere. "Et av hovedformålene med Blackjacks Fuxnet ICS malware [er] å angripe og ødelegge de fysiske sensorene selv etter å ha fått tilgang til sensorgatewayen," sier Brizinov. For å gjøre det, valgte Blackjack å fuzze sensorene ved å sende dem et ubegrenset antall M-Bus-pakker. "I hovedsak håpet BlackJack at ved å sende sensoren tilfeldige M-Bus-pakker i det uendelige, ville pakkene overvelde dem og potensielt utløse en sårbarhet som ville ødelegge sensorene og sette dem i en ubrukelig tilstand," sier han.

Det viktigste for organisasjoner fra slike angrep er å ta hensyn til det grunnleggende om sikkerhet. Blackjack, for eksempel, ser ut til å ha fått root-tilgang til målsensor-gatewayer ved å misbruke svak legitimasjon på enhetene. Angrepet fremhever hvorfor det "er viktig å opprettholde en god passordpolicy, og sørge for at enheter ikke deler samme legitimasjon eller bruker standard", sier han. "Det er også viktig å distribuere god nettverkssanering og -segmentering, og sørge for at angripere ikke vil være i stand til å bevege seg sideveis inne i nettverket, og distribuere skadevare til alle edge-enheter."

SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
kilde: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine

Generativ dataintelligens

Farlig ny ICS-malware retter seg mot organisasjoner i Russland og Ukraina

Destruktiv skadelig programvare

Kapeka: En Sandorm-erstatning for GreyEnergy?

Fuxnet: Et verktøy for å forstyrre og ødelegge

G7-nasjoner forplikter seg til å avslutte kullbruk innen 2035, med sikte på en grønnere fremtid: EcoWatch Newsletter fremhever den siste miljøfremgangen

Angripere plantet millioner av bildeløse depoter på Docker Hub

Siste etterretning

Hva er utgivelsesdatoen for Men of War 2?

Er Men of War 2 flerspiller?

Kanadisk narkotikakjede i midlertidig låst modus etter cyberhendelse

Star Wars VR 'Vader Immortal'-trilogien får en enorm rabatt, men fortsatt ingen Quest 3-oppgradering

Beyond the Human Eye: Forbedrer ikke-destruktiv testing med AI-innsikt

OpenAI ruller ut Memory til ChatGPT Plus-brukere

Chat med oss