Bedrohungsakteure haben benutzerdefinierte Module entwickelt, um verschiedene ICS-Geräte sowie Windows-Workstations zu kompromittieren, die eine unmittelbare Bedrohung darstellen, insbesondere für Energieversorger.
Bedrohungsakteure haben Tools entwickelt und sind bereit, diese einzusetzen, die eine Reihe weit verbreiteter ICS-Geräte (Industrial Control System) übernehmen können, was für Anbieter kritischer Infrastrukturen – insbesondere im Energiesektor – Probleme bedeutet, warnen Bundesbehörden.
In eine gemeinsame Beratung, das Energieministerium (DoE), die Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das FBI warnen davor, dass „bestimmte APT-Akteure (Advanced Persistent Threat)“ bereits die Fähigkeit unter Beweis gestellt haben, „voll zu gewinnen Systemzugriff auf mehrere industrielle Steuerungssysteme (ICS)/Supervisory Control and Data Acquisition (SCADA)-Geräte“, heißt es in der Warnung.
Die von den APTs entwickelten maßgeschneiderten Tools ermöglichen es ihnen – sobald sie Zugang zum Operational Technology (OT)-Netzwerk erhalten haben – nach Angaben der Behörden nach betroffenen Geräten zu suchen, sie zu kompromittieren und zu kontrollieren. Dies kann zu einer Reihe von schändlichen Aktionen führen, darunter die Erhöhung von Privilegien, seitliche Bewegungen innerhalb einer OT-Umgebung und die Unterbrechung kritischer Geräte oder Funktionen, sagten sie.
Gefährdete Geräte sind: Schneider Electric MODICON und MODICON Nano speicherprogrammierbare Steuerungen (SPS), einschließlich (aber nicht beschränkt auf) TM251, TM241, M258, M238, LMC058 und LMC078; OMRON Sysmac NEX-SPS; und Open Platform Communications Unified Architecture (OPC UA)-Server, so die Behörden.
Die APTs können auch Windows-basierte Engineering-Workstations gefährden, die in IT- oder OT-Umgebungen vorhanden sind, indem sie einen Exploit für eine bekannte Schwachstelle in einem ASRock verwenden Hauptplatine Fahrer, sagten sie.
Warnung sollte beachtet werden
Obwohl Bundesbehörden häufig Hinweise zu Cyber-Bedrohungen herausgeben, drängte ein Sicherheitsexperte Anbieter kritischer Infrastrukturen diese besondere Warnung nicht auf die leichte Schulter zu nehmen.
„Täuschen Sie sich nicht, dies ist eine wichtige Warnung von CISA“, bemerkte Tim Erlin, Vice President of Strategy bei Tripwire, in einer E-Mail an Threatpost. „Industrieorganisationen sollten dieser Bedrohung Aufmerksamkeit schenken.“
Er stellte fest, dass sich die Warnung selbst zwar auf Tools für den Zugriff auf bestimmte ICS-Geräte konzentriert, das Gesamtbild jedoch darin besteht, dass die gesamte industrielle Kontrollumgebung gefährdet ist, sobald ein Bedrohungsakteur Fuß fasst.
„Angreifer brauchen einen ersten Angriffspunkt, um Zugang zu den beteiligten industriellen Kontrollsystemen zu erhalten, und Organisationen sollten ihre Verteidigung entsprechend aufbauen“, riet Erlin.
Modulares Toolset
Die Agenturen stellten eine Aufschlüsselung der von APTs entwickelten modularen Tools bereit, die es ihnen ermöglichen, „hochautomatisierte Exploits gegen Zielgeräte“ durchzuführen, sagten sie.
Sie beschrieben die Tools als eine virtuelle Konsole mit einer Befehlsschnittstelle, die die Schnittstelle des Ziel-ICS/SCADA-Geräts widerspiegelt. Die Module interagieren mit Zielgeräten und geben selbst weniger qualifizierten Bedrohungsakteuren die Möglichkeit, höherqualifizierte Fähigkeiten zu emulieren, warnten die Behörden.
Zu den Aktionen, die die APTs unter Verwendung der Module ausführen können, gehören: Scannen nach Zielgeräten, Durchführen von Erkundungen von Gerätedetails, Hochladen bösartiger Konfigurationen/Codes auf das Zielgerät, Sichern oder Wiederherstellen von Geräteinhalten und Ändern von Geräteparametern.
Darüber hinaus können die APT-Akteure ein Tool verwenden, das eine Sicherheitslücke im ASRock-Mainboard-Treiber AsrDrv103.sys installiert und ausnutzt, wie sie verfolgt wird CVE-2020-15368. Der Fehler ermöglicht die Ausführung von bösartigem Code im Windows-Kernel, wodurch seitliche Bewegungen in einer IT- oder OT-Umgebung sowie die Unterbrechung kritischer Geräte oder Funktionen erleichtert werden.
Ausrichtung auf bestimmte Geräte
Akteure haben auch ein bestimmtes Modul, um das andere anzugreifen ICS-Geräte. Das Modul für Schneider Electric interagiert mit den Geräten über normale Verwaltungsprotokolle und Modbus (TCP 502).
Dieses Modul kann es Akteuren ermöglichen, verschiedene böswillige Aktionen durchzuführen, einschließlich der Durchführung eines schnellen Scans, um alle Schneider-SPS im lokalen Netzwerk zu identifizieren; Brute-Forcing von SPS-Passwörtern; Durchführen eines Denial-of-Service (DoS)-Angriffs, um den PLC daran zu hindern, Netzwerkkommunikation zu empfangen; oder die Durchführung eines „Packet of Death“-Angriffs, um unter anderem die SPS zum Absturz zu bringen, so der Ratgeber.
Andere Module im APT-Tool zielen auf OMRON-Geräte ab und können im Netzwerk nach ihnen suchen sowie andere kompromittierende Funktionen ausführen, so die Behörden.
Darüber hinaus können die OMRON-Module einen Agenten hochladen, der es einem Angreifer ermöglicht, je nach Warnung eine Verbindung herzustellen und Befehle – wie Dateimanipulation, Paketerfassung und Codeausführung – über HTTP und/oder Hypertext Transfer Protocol Secure (HTTPS) zu initiieren.
Schließlich enthält ein Modul, das die Kompromittierung von OPC-UA-Geräten ermöglicht, grundlegende Funktionen zur Identifizierung von OPC-UA-Servern und zur Verbindung mit einem OPC-UA-Server unter Verwendung von Standard- oder zuvor kompromittierten Anmeldeinformationen, warnten die Behörden.
Empfohlene Schadensbegrenzungen
Die Agenturen boten Anbietern kritischer Infrastrukturen eine umfangreiche Liste von Abhilfemaßnahmen an, um die Gefährdung ihrer Systeme durch die APT-Tools zu vermeiden.
„Das ist nicht so einfach wie das Aufbringen eines Patches“, bemerkte Erwin von Tripwire. Von der Liste zitierte er die Isolierung betroffener Systeme; Einsatz von Endpunkterkennung, Konfiguration und Integritätsüberwachung; und Protokollanalyse als Schlüsselmaßnahmen, die Organisationen sofort ergreifen sollten, um ihre Systeme zu schützen.
Die Bundesbehörden empfahlen den Anbietern kritischer Infrastrukturen außerdem, einen Plan zur Reaktion auf Cybervorfälle zu haben, den alle Beteiligten in IT, Cybersicherheit und Betrieb kennen und bei Bedarf schnell umsetzen können, sowie gültige Offline-Backups für eine schnellere Wiederherstellung nach einem störenden Angriff, neben anderen Minderungsmaßnahmen .
Umzug in die Cloud? Entdecken Sie aufkommende Cloud-Sicherheitsbedrohungen zusammen mit fundierten Ratschlägen, wie Sie Ihre Vermögenswerte mit unseren schützen können KOSTENLOS herunterladbares eBook, „Cloud-Sicherheit: Die Prognose für 2022.“ Wir untersuchen die größten Risiken und Herausforderungen von Unternehmen, Best Practices für den Schutz und Ratschläge für den Sicherheitserfolg in einer solchen dynamischen Computerumgebung, einschließlich praktischer Checklisten.
- Blockchain
- Einfallsreichtum
- Kritische Infrastruktur
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Kaspersky
- Malware
- McAfee
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Website-Sicherheit
- Zephyrnet
