Οι φορείς της απειλής έχουν αναπτύξει προσαρμοσμένες μονάδες για να θέσουν σε κίνδυνο διάφορες συσκευές ICS καθώς και σταθμούς εργασίας Windows που αποτελούν άμεση απειλή, ιδιαίτερα για τους παρόχους ενέργειας.
Οι φορείς απειλών έχουν κατασκευάσει και είναι έτοιμοι να αναπτύξουν εργαλεία που μπορούν να αναλάβουν μια σειρά από ευρέως χρησιμοποιούμενες συσκευές βιομηχανικού συστήματος ελέγχου (ICS), κάτι που δημιουργεί προβλήματα στους παρόχους υποδομών ζωτικής σημασίας—ιδίως εκείνους στον ενεργειακό τομέα, προειδοποίησαν ομοσπονδιακές υπηρεσίες.
In μια κοινή συμβουλευτική, το Υπουργείο Ενέργειας (DoE), η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), η Υπηρεσία Εθνικής Ασφάλειας (NSA) και το FBI προειδοποιούν ότι «ορισμένοι παράγοντες προηγμένης επίμονης απειλής (APT)» έχουν ήδη επιδείξει την ικανότητα «να κερδίσουν πλήρως πρόσβαση συστήματος σε πολλαπλά συστήματα βιομηχανικού ελέγχου (ICS)/συσκευές εποπτικού ελέγχου και απόκτησης δεδομένων (SCADA)», σύμφωνα με την ειδοποίηση.
Τα ειδικά κατασκευασμένα εργαλεία που αναπτύχθηκαν από τα APT τους επιτρέπουν –αφού αποκτήσουν πρόσβαση στο δίκτυο λειτουργικής τεχνολογίας (OT)– να σαρώνουν, να παραβιάζουν και να ελέγχουν τις επηρεαζόμενες συσκευές, σύμφωνα με τις υπηρεσίες. Αυτό μπορεί να οδηγήσει σε μια σειρά από κακόβουλες ενέργειες, συμπεριλαμβανομένης της αύξησης των προνομίων, της πλευρικής κίνησης εντός ενός περιβάλλοντος OT και της διακοπής κρίσιμων συσκευών ή λειτουργιών, είπαν.
Οι συσκευές που διατρέχουν κίνδυνο είναι οι εξής: Schneider Electric MODICON και MODICON Nano προγραμματιζόμενοι λογικοί ελεγκτές (PLC), συμπεριλαμβανομένων (αλλά δεν επιτρέπεται να περιορίζονται σε) TM251, TM241, M258, M238, LMC058 και LMC078. OMRON Sysmac NEX PLC. και διακομιστές Open Platform Communications Unified Architecture (OPC UA), ανέφεραν οι υπηρεσίες.
Τα APT μπορούν επίσης να υπονομεύσουν σταθμούς εργασίας μηχανικής που βασίζονται σε Windows που υπάρχουν σε περιβάλλοντα IT ή OT χρησιμοποιώντας ένα exploit για μια γνωστή ευπάθεια σε ένα ASRock μητρική πλακέτα οδηγός, είπαν.
Η προειδοποίηση πρέπει να λαμβάνεται υπόψη
Αν και οι ομοσπονδιακές υπηρεσίες δίνουν συχνά συμβουλές για απειλές στον κυβερνοχώρο, ένας επαγγελματίας ασφάλειας προέτρεψε κρίσιμους παρόχους υποδομής για να μην παίρνετε τη συγκεκριμένη προειδοποίηση ελαφρά.
«Μην κάνετε λάθος, αυτή είναι μια σημαντική ειδοποίηση από την CISA», παρατήρησε ο Tim Erlin, αντιπρόεδρος στρατηγικής στην Tripwire, σε ένα email στο Threatpost. «Οι βιομηχανικές οργανώσεις πρέπει να δώσουν προσοχή σε αυτήν την απειλή».
Σημείωσε ότι ενώ η ίδια η προειδοποίηση εστιάζει σε εργαλεία για την απόκτηση πρόσβασης σε συγκεκριμένες συσκευές ICS, η μεγαλύτερη εικόνα είναι ότι ολόκληρο το βιομηχανικό περιβάλλον ελέγχου κινδυνεύει μόλις ένας παράγοντας απειλής αποκτήσει βάση.
«Οι επιτιθέμενοι χρειάζονται ένα αρχικό σημείο συμβιβασμού για να αποκτήσουν πρόσβαση στα εμπλεκόμενα συστήματα βιομηχανικού ελέγχου και οι οργανισμοί θα πρέπει να οικοδομήσουν τις άμυνές τους ανάλογα», συμβουλεύει ο Έρλιν.
Αρθρωτό σύνολο εργαλείων
Οι υπηρεσίες παρείχαν μια ανάλυση των αρθρωτών εργαλείων που αναπτύχθηκαν από τα APT που τους επιτρέπουν να πραγματοποιούν «υψηλά αυτοματοποιημένα exploits εναντίον στοχευμένων συσκευών», είπαν.
Περιέγραψαν τα εργαλεία ότι έχουν μια εικονική κονσόλα με μια διεπαφή εντολών που αντικατοπτρίζει τη διεπαφή της στοχευμένης συσκευής ICS/SCADA. Οι μονάδες αλληλεπιδρούν με στοχευμένες συσκευές, δίνοντας σε ακόμη χαμηλότερης ειδίκευσης παράγοντες απειλών τη δυνατότητα να μιμηθούν ικανότητες υψηλότερης εξειδίκευσης, προειδοποίησαν οι υπηρεσίες.
Οι ενέργειες που μπορούν να κάνουν οι APT χρησιμοποιώντας τις μονάδες περιλαμβάνουν: σάρωση για στοχευμένες συσκευές, διεξαγωγή αναγνώρισης σε λεπτομέρειες της συσκευής, αποστολή κακόβουλης διαμόρφωσης/κώδικα στη στοχευμένη συσκευή, δημιουργία αντιγράφων ασφαλείας ή επαναφορά περιεχομένων της συσκευής και τροποποίηση παραμέτρων συσκευής.
Επιπλέον, οι ηθοποιοί APT μπορούν να χρησιμοποιήσουν ένα εργαλείο που εγκαθιστά και εκμεταλλεύεται μια ευπάθεια στο πρόγραμμα οδήγησης μητρικής πλακέτας ASRock AsrDrv103.sys που παρακολουθείται ως CVE-2020-15368. Το ελάττωμα επιτρέπει την εκτέλεση κακόβουλου κώδικα στον πυρήνα των Windows, διευκολύνοντας την πλευρική κίνηση ενός περιβάλλοντος IT ή OT καθώς και τη διακοπή κρίσιμων συσκευών ή λειτουργιών.
Στόχευση συγκεκριμένων συσκευών
Οι ηθοποιοί έχουν επίσης συγκεκριμένες ενότητες για να επιτεθούν στον άλλον Συσκευές ICS. Η μονάδα για τη Schneider Electric αλληλεπιδρά με τις συσκευές μέσω κανονικών πρωτοκόλλων διαχείρισης και Modbus (TCP 502).
Αυτή η ενότητα μπορεί να επιτρέπει στους ηθοποιούς να εκτελούν διάφορες κακόβουλες ενέργειες, συμπεριλαμβανομένης της εκτέλεσης μιας γρήγορης σάρωσης για την αναγνώριση όλων των PLC της Schneider στο τοπικό δίκτυο. brute-forcing κωδικοί πρόσβασης PLC? διεξαγωγή επίθεσης άρνησης υπηρεσίας (DoS) για να εμποδίσει το PLC να λαμβάνει επικοινωνίες δικτύου. ή διεξαγωγή μιας επίθεσης «πακέτο θανάτου» για να συντριβεί το PLC, μεταξύ άλλων, σύμφωνα με τη συμβουλευτική.
Άλλες μονάδες στο εργαλείο APT στοχεύουν συσκευές OMRON και μπορούν να τις ανιχνεύσουν στο δίκτυο καθώς και να εκτελούν άλλες συμβιβαστικές λειτουργίες, ανέφεραν οι υπηρεσίες.
Επιπλέον, οι μονάδες OMRON μπορούν να ανεβάσουν έναν πράκτορα που επιτρέπει σε έναν παράγοντα απειλής να συνδεθεί και να εκκινήσει εντολές —όπως ο χειρισμός αρχείων, η σύλληψη πακέτων και η εκτέλεση κώδικα— μέσω HTTP ή/και Hypertext Transfer Protocol Secure (HTTPS), σύμφωνα με την ειδοποίηση.
Τέλος, μια μονάδα που επιτρέπει την παραβίαση συσκευών OPC UA περιλαμβάνει βασική λειτουργικότητα για την αναγνώριση διακομιστών OPC UA και τη σύνδεση σε διακομιστή OPC UA χρησιμοποιώντας προεπιλεγμένα ή προηγουμένως παραβιασμένα διαπιστευτήρια, προειδοποίησαν οι υπηρεσίες.
Προτεινόμενα μέτρα μετριασμού
Οι υπηρεσίες πρόσφεραν μια εκτενή λίστα μετριασμούς για τους παρόχους υποδομών ζωτικής σημασίας για να αποφύγουν τον συμβιβασμό των συστημάτων τους από τα εργαλεία APT.
«Αυτό δεν είναι τόσο απλό όσο η εφαρμογή ενός patch», σημείωσε ο Erwin της Tripwire. Από τη λίστα, ανέφερε την απομόνωση επηρεαζόμενων συστημάτων. Χρησιμοποιώντας ανίχνευση τελικού σημείου, ρύθμιση παραμέτρων και παρακολούθηση ακεραιότητας· και ανάλυση αρχείων καταγραφής ως βασικές ενέργειες που πρέπει να αναλάβουν άμεσα οι οργανισμοί για την προστασία των συστημάτων τους.
Οι ομοσπονδίες συνέστησαν επίσης στους παρόχους υποδομής ζωτικής σημασίας να έχουν ένα σχέδιο αντιμετώπισης περιστατικών στον κυβερνοχώρο που όλοι οι ενδιαφερόμενοι στον τομέα της πληροφορικής, της κυβερνοασφάλειας και των λειτουργιών γνωρίζουν και μπορούν να το εφαρμόσουν γρήγορα εάν είναι απαραίτητο, καθώς και να διατηρούν έγκυρα αντίγραφα ασφαλείας εκτός σύνδεσης για ταχύτερη ανάκτηση σε περίπτωση ενοχλητικής επίθεσης, μεταξύ άλλων μέτρων μετριασμού. .
Μετακίνηση στο σύννεφο; Ανακαλύψτε αναδυόμενες απειλές για την ασφάλεια του cloud μαζί με στέρεες συμβουλές για το πώς να υπερασπιστείτε τα περιουσιακά σας στοιχεία με τη δική μας ΔΩΡΕΑΝ eBook με δυνατότητα λήψης, "Cloud Security: The Forecast for 2022." Εξερευνούμε τους κορυφαίους κινδύνους και τις προκλήσεις των οργανισμών, τις βέλτιστες πρακτικές για την άμυνα και τις συμβουλές για την επιτυχία της ασφάλειας σε ένα τόσο δυναμικό περιβάλλον υπολογιστών, συμπεριλαμβανομένων εύχρηστων λιστών ελέγχου.
- blockchain
- Coingenius
- Υποδομές κρίσιμης σημασίας
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
