Trusselaktører har udviklet tilpassede moduler til at kompromittere forskellige ICS-enheder samt Windows-arbejdsstationer, der udgør en overhængende trussel, især for energiudbydere.
Trusselaktører har bygget og er klar til at implementere værktøjer, der kan overtage en række udbredte industrielle kontrolsystemer (ICS)-enheder, hvilket giver problemer for kritiske infrastrukturudbydere - især dem i energisektoren, har føderale agenturer advaret.
In en fælles rådgivning, Department of Energy (DoE), Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) og FBI advarer om, at "visse aktører af avanceret vedvarende trussel (APT)" allerede har demonstreret evnen "til at opnå fuld systemadgang til flere industrielle kontrolsystemer (ICS) / tilsynskontrol og dataindsamling (SCADA) enheder," ifølge advarslen.
De skræddersyede værktøjer udviklet af APT'erne giver dem mulighed for – når de først har fået adgang til det operationelle teknologiske (OT) netværk – at scanne efter, kompromittere og kontrollere berørte enheder, ifølge agenturerne. Dette kan føre til en række ufarlige handlinger, herunder forhøjelse af privilegier, lateral bevægelse i et OT-miljø og afbrydelse af kritiske enheder eller funktioner, sagde de.
Enheder i fare er: Schneider Electric MODICON og MODICON Nano programmerbare logiske controllere (PLC'er), inklusive (men er muligvis ikke begrænset til) TM251, TM241, M258, M238, LMC058 og LMC078; OMRON Sysmac NEX PLC'er; og Open Platform Communications Unified Architecture (OPC UA)-servere, sagde agenturerne.
APT'erne kan også kompromittere Windows-baserede ingeniørarbejdsstationer, der er til stede i IT- eller OT-miljøer ved at bruge en udnyttelse af en kendt sårbarhed i en ASRock bundkort chauffør, sagde de.
Advarsel bør følges
Selvom føderale agenturer ofte udsender råd om cybertrusler, opfordrede en sikkerhedsekspert udbydere af kritiske infrastrukturer ikke at tage let på denne advarsel.
"Tag ikke fejl, dette er en vigtig advarsel fra CISA," bemærkede Tim Erlin, vicepræsident for strategi hos Tripwire, i en e-mail til Threatpost. "Industriorganisationer bør være opmærksomme på denne trussel."
Han bemærkede, at mens selve advarslen fokuserer på værktøjer til at få adgang til specifikke ICS-enheder, er det større billede, at hele det industrielle kontrolmiljø er i fare, når en trusselsaktør får fodfæste.
"Angribere har brug for et indledende kompromis for at få adgang til de involverede industrielle kontrolsystemer, og organisationer bør bygge deres forsvar i overensstemmelse hermed," rådede Erlin.
Modulært værktøjssæt
Agenturerne leverede en opdeling af de modulære værktøjer udviklet af APT'er, der giver dem mulighed for at udføre "højt automatiserede udnyttelser mod målrettede enheder," sagde de.
De beskrev værktøjerne som at have en virtuel konsol med en kommandogrænseflade, der afspejler grænsefladen for den målrettede ICS/SCADA-enhed. Moduler interagerer med målrettede enheder, hvilket giver selv lavere kvalificerede trusselsaktører muligheden for at efterligne højere kvalificerede kapaciteter, advarede agenturerne.
Handlinger, som APT'erne kan udføre ved hjælp af modulerne, omfatter: scanning efter målrettede enheder, udførelse af rekognoscering af enhedsdetaljer, upload af ondsindet konfiguration/kode til den målrettede enhed, sikkerhedskopiering eller gendannelse af enhedsindhold og ændring af enhedsparametre.
Derudover kan APT-aktørerne bruge et værktøj, der installerer og udnytter en sårbarhed i ASRock bundkortdriveren AsrDrv103.sys sporet som CVE-2020-15368. Fejlen tillader udførelse af ondsindet kode i Windows-kernen, hvilket letter lateral bevægelse af et IT- eller OT-miljø samt afbrydelse af kritiske enheder eller funktioner.
Målretning af specifikke enheder
Skuespillere har også specifikke moduler til at angribe den anden ICS enheder. Modulet til Schneider Electric interagerer med enhederne via normale administrationsprotokoller og Modbus (TCP 502).
Dette modul kan give aktører mulighed for at udføre forskellige ondsindede handlinger, herunder at køre en hurtig scanning for at identificere alle Schneider PLC'er på det lokale netværk; brute-forcing PLC adgangskoder; co-udførelse af et denial-of-service (DoS) angreb for at blokere PLC'en fra at modtage netværkskommunikation; eller at udføre et "dødspakke"-angreb for blandt andet at nedbryde PLC'en, ifølge meddelelsen.
Andre moduler i APT-værktøjet er rettet mod OMRON-enheder og kan scanne efter dem på netværket samt udføre andre kompromitterende funktioner, sagde agenturerne.
Derudover kan OMRON-modulerne uploade en agent, der gør det muligt for en trusselaktør at forbinde og starte kommandoer – såsom filmanipulation, pakkefangst og kodekørsel – via HTTP og/eller Hypertext Transfer Protocol Secure (HTTPS), ifølge advarslen.
Endelig indeholder et modul, der muliggør kompromittering af OPC UA-enheder, grundlæggende funktionalitet til at identificere OPC UA-servere og oprette forbindelse til en OPC UA-server ved hjælp af standardoplysninger eller tidligere kompromitterede legitimationsoplysninger, advarede agenturerne.
Anbefalede afbødninger
Agenturerne tilbød en omfattende liste over begrænsninger for udbydere af kritisk infrastruktur for at undgå kompromittering af deres systemer ved hjælp af APT-værktøjerne.
"Dette er ikke så simpelt som at anvende et plaster," bemærkede Tripwires Erwin. På listen citerede han at isolere berørte systemer; anvendelse af slutpunktsdetektion, konfiguration og integritetsovervågning; og loganalyse som nøglehandlinger, som organisationer bør tage øjeblikkeligt for at beskytte deres systemer.
Feds anbefalede også, at udbydere af kritisk infrastruktur har en responsplan for cyberhændelser, som alle interessenter inden for IT, cybersikkerhed og drift kender og kan implementere hurtigt, hvis det er nødvendigt, samt vedligeholde gyldige offline-backups for hurtigere genopretning efter et forstyrrende angreb, blandt andre begrænsninger .
Flytter du til skyen? Oplev nye skysikkerhedstrusler sammen med solide råd til, hvordan du forsvarer dine aktiver med vores GRATIS downloadbar e-bog, "Cloud Security: The Forecast for 2022." Vi udforsker organisationers største risici og udfordringer, bedste praksis for forsvar og råd til sikkerhedssucces i et sådant dynamisk computermiljø, herunder praktiske tjeklister.
