Generativ dataintelligens

Cybersäkerhet

Farlig ny ICS-malware riktar sig till organisationer i Ryssland och Ukraina

Republiserad av Platon
Republiserad av Platon

Datum:

Visningar: 0

Två farliga malware-verktyg riktade mot industriella kontrollsystem (ICS) och operativsystemsteknik (OT) miljöer i Europa är de senaste manifestationerna av cybernedfallet från kriget i Ukraina.

Ett av verktygen, kallat "Kapeka”, verkar kopplat till Sandworm, en produktiv rysk statsstödd hotaktör som Googles säkerhetsgrupp Mandiant denna vecka beskrev som landets primära cyberattacksenheten i Ukraina. Säkerhetsforskare från Finlandsbaserade WithSecure upptäckte bakdörren i attackerna 2023 mot ett estniskt logistikföretag och andra mål i Östeuropa och uppfattade det som ett aktivt och pågående hot.

Destruktiv skadlig programvara

Den andra skadliga programvaran – något färgglatt dubbad Fuxnet — är ett verktyg som den Ukrainas regeringsstödda hotgruppen Blackjack troligen använde i en nyligen destruktiv attack mot Moskollector, ett företag som har ett stort nätverk av sensorer för att övervaka Moskvas avloppssystem. Angriparna använde Fuxnet för att framgångsrikt mura till vad de hävdade var totalt 1,700 87,000 sensor-gateways på Moskollectors nätverk och inaktiverade i processen cirka XNUMX XNUMX sensorer kopplade till dessa gateways.

"Huvudfunktionaliteten hos Fuxnet ICS malware var att korrumpera och blockera åtkomst till sensorgateways, och att försöka korrumpera de fysiska sensorerna också", säger Sharon Brizinov, chef för sårbarhetsforskning på ICS-säkerhetsföretaget Claroty, som nyligen undersökte Blackjacks attack. Som ett resultat av attacken kommer Moskollector sannolikt att fysiskt behöva nå var och en av de tusentals drabbade enheterna och ersätta dem individuellt, säger Brizinov. "För att återställa [Moskollectors] förmåga att övervaka och driva avloppssystemet runt hela Moskva, kommer de att behöva anskaffa och återställa hela systemet."

Kapeka och Fuxnet är exempel på det bredare cybernedfallet från konflikten mellan Ryssland och Ukraina. Sedan kriget mellan de två länderna startade i februari 2022 – och till och med långt innan dess – har hackergrupper från båda sidor utvecklat och använt en rad malware-verktyg mot varandra. Många av verktygen, inklusive torkare och ransomware, har varit destruktiv eller störande till sin natur och främst inriktade på kritisk infrastruktur, ICS och OT-miljöer i båda länderna.

Men vid flera tillfällen har attacker som involverar verktyg skapats från den långvariga konflikten mellan de två länderna påverkat ett bredare antal offer. Det mest anmärkningsvärda exemplet är NotPetya, ett skadlig programvara som Sandworm-gruppen ursprungligen utvecklade för användning i Ukraina, men som slutade påverka tiotusentals system över hela världen 2017. År 2023 Storbritanniens nationella cybersäkerhetscenter (NCSC) och US National Security Agency (NSA) varnade för ett Sandworm malware-verktyg som kallas "Infamous Chisel" som utgör ett hot mot Android-användare överallt.

Kapeka: En sandmaskersättning för GreyEnergy?

Enligt WithSecure är Kapeka en ny bakdörr som angripare kan använda som en verktygslåda i ett tidigt skede och för att möjliggöra långvarig uthållighet på ett offersystem. Skadlig programvara inkluderar en dropparkomponent för att släppa bakdörren på en målmaskin och sedan ta bort sig själv. "Kapeka stöder alla grundläggande funktioner som gör att den kan fungera som en flexibel bakdörr i offrets dödsbo", säger Mohammad Kazem Hassan Nejad, forskare på WithSecure.

Dess möjligheter inkluderar att läsa och skriva filer från och till disk, exekvera skalkommandon och starta skadliga nyttolaster och processer inklusive levande-off-the-land binärer. "Efter att ha fått den första åtkomsten kan Kapekas operatör använda bakdörren för att utföra en mängd olika uppgifter på offrets dator, som att upptäcka, distribuera ytterligare skadlig programvara och iscensätta nästa steg i attacken", säger Nejad.

Enligt Nejad kunde WithSecure hitta bevis som tydde på en koppling till Sandworm och gruppens GreyEnergy skadlig kod användes i attacker mot Ukrainas elnät 2018. "Vi tror att Kapeka kan vara en ersättning för GreyEnergy i Sandworms arsenal", konstaterar Nejad. Även om de två proverna av skadlig programvara inte kommer från samma källkod, finns det vissa konceptuella överlappningar mellan Kapeka och GreyEnergy, precis som det fanns vissa överlappningar mellan GreyEnergy och dess föregångare, BlackEnergy. "Detta indikerar att Sandworm kan ha uppgraderat sin arsenal med nya verktyg över tiden för att anpassa sig till det föränderliga hotlandskapet", säger Nejad.

Fuxnet: Ett verktyg för att störa och förstöra

Samtidigt identifierar Claritys Brizinov Fuxnet som ICS skadlig kod avsedd att orsaka skada på specifik rysktillverkad sensorutrustning. Skadlig programvara är avsedd att distribueras på gateways som övervakar och samlar in data från fysiska sensorer för brandlarm, gasövervakning, belysning och liknande användningsfall.

"När den skadliga programvaran väl har distribuerats, kommer den att skapa gateways genom att skriva över dess NAND-chip och inaktivera extern fjärråtkomst, vilket förhindrar operatörer från att fjärrstyra enheterna", säger Brizinov.  

En separat modul försöker sedan översvämma de fysiska sensorerna med värdelös M-Bus-trafik. M-Bus är ett europeiskt kommunikationsprotokoll för fjärravläsning av gas-, vatten-, el- och andra mätare. "Ett av huvudsyften med Blackjacks Fuxnet ICS malware [är] att attackera och förstöra de fysiska sensorerna själva efter att ha fått tillgång till sensorgatewayen", säger Brizinov. För att göra det valde Blackjack att fuzza sensorerna genom att skicka dem ett obegränsat antal M-Bus-paket. "I huvudsak hoppades BlackJack att genom att oändligt skicka sensorerna slumpmässiga M-Bus-paket, skulle paketen överväldiga dem och potentiellt utlösa en sårbarhet som skulle korrumpera sensorerna och placera dem i ett inoperabelt tillstånd", säger han.

Det viktigaste för organisationer från sådana attacker är att uppmärksamma säkerhetsgrunderna. Blackjack, till exempel, verkar ha fått root-åtkomst till målsensor-gateways genom att missbruka svaga referenser på enheterna. Attacken belyser varför det "är viktigt att upprätthålla en bra lösenordspolicy, se till att enheter inte delar samma referenser eller använder standard", säger han. "Det är också viktigt att distribuera bra nätverkssanering och segmentering, se till att angripare inte skulle kunna röra sig i sidled inuti nätverket och distribuera sin skadliga programvara till alla edge-enheter."

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.

Chatta med oss

Hallå där! Hur kan jag hjälpa dig?