Feds: APT-del on tööriistad, mis võivad kriitilise infrastruktuuri üle võtta

Föderaalsed agentuurid on hoiatanud, et ohus osalejad on loonud ja on valmis kasutusele võtma tööriistu, mis võivad üle võtta mitmed laialdaselt kasutatavad tööstusjuhtimissüsteemi (ICS) seadmed, mis tekitab probleeme kriitilise infrastruktuuri pakkujatele – eriti energiasektoris tegutsevatele.

In ühine nõuandja, energeetikaministeerium (DoE), küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA), riiklik julgeolekuagentuur (NSA) ja FBI hoiatavad, et "teatud arenenud püsivate ohtude (APT) osalejad" on juba näidanud, et nad on võimelised "täielikult saavutama". süsteemi juurdepääs mitmele tööstuslikule juhtimissüsteemile (ICS)/järelevalve juhtimis- ja andmehõive (SCADA) seadmetele, ”vastab hoiatus.

Agentuuride sõnul võimaldavad APT-de välja töötatud eritellimusel valmistatud tööriistad, kui nad on saanud juurdepääsu töötehnoloogia (OT) võrgule, skannida, kahjustada ja juhtida mõjutatud seadmeid. Nad ütlesid, et see võib kaasa tuua mitmeid alatuid tegusid, sealhulgas privileegide tõstmist, külgsuunalist liikumist OT-keskkonnas ja kriitiliste seadmete või funktsioonide häirimist.

Ohustatud seadmed on: Schneider Electric MODICON ja MODICON Nano programmeeritavad loogikakontrollerid (PLC), sealhulgas (kuid mitte ainult) TM251, TM241, M258, M238, LMC058 ja LMC078; OMRON Sysmac NEX PLC-d; ja Open Platform Communications Unified Architecture (OPC UA) serverid, teatasid agentuurid.

APT-d võivad ohustada ka Windowsi-põhiseid inseneritööjaamu, mis asuvad IT- või OT-keskkondades, kasutades ASRocki teadaoleva haavatavuse ärakasutamist. emaplaadi autojuht, ütlesid nad.

Hoiatust tuleks tähele panna

Kuigi föderaalametid annavad sageli välja nõuandeid küberohtude kohta, kutsus üks turvaspetsialist üles kriitilise infrastruktuuri pakkujad mitte võtta seda konkreetset hoiatust kergelt.

"Ärge tehke viga, see on CISA oluline hoiatus," märkis Tripwire'i strateegia asepresident Tim Erlin Threatpostile saadetud meilis. "Tööstusorganisatsioonid peaksid sellele ohule tähelepanu pöörama."

Ta märkis, et kuigi hoiatus ise keskendub konkreetsetele ICS-seadmetele juurdepääsu saamiseks mõeldud tööriistadele, on suurem pilt see, et kogu tööstusliku kontrolli keskkond on ohus, kui ohus osaleja saab jalad alla.

"Ründajad vajavad esialgset kompromissi, et pääseda juurde kaasatud tööstuslikele juhtimissüsteemidele ja organisatsioonid peaksid oma kaitsemehhanisme vastavalt ehitama," soovitas Erlin.

Modulaarne tööriistakomplekt

Agentuurid esitasid APT-de poolt välja töötatud modulaarsete tööriistade jaotuse, mis võimaldab neil "sihipäraste seadmete vastu väga automatiseeritud ärakasutamist", ütlesid nad.

Nad kirjeldasid tööriistu kui virtuaalset konsooli, millel on käsuliides, mis peegeldab sihitud ICS/SCADA-seadme liidest. Moodulid suhtlevad sihitud seadmetega, andes isegi madalama kvalifikatsiooniga ohus osalejatele võimaluse jäljendada kõrgema kvalifikatsiooniga võimeid, hoiatasid agentuurid.

Toimingud, mida APT-d saavad mooduleid kasutades teha, hõlmavad järgmist: sihitud seadmete otsimine, seadme üksikasjadega tutvumine, pahatahtliku konfiguratsiooni/koodi üleslaadimine sihitud seadmesse, seadme sisu varundamine või taastamine ja seadme parameetrite muutmine.

Lisaks saavad APT osalejad kasutada tööriista, mis installib ja kasutab ära ASRocki emaplaadi draiveri AsrDrv103.sys haavatavuse, mida jälgitakse kui CVE-2020-15368. Viga võimaldab käivitada Windowsi tuumas pahatahtlikku koodi, hõlbustades IT- või OT-keskkonna külgsuunalist liikumist ning kriitiliste seadmete või funktsioonide häirimist.

Konkreetsete seadmete sihtimine

Näitlejatel on ka konkreetsed moodulid, millega teisi rünnata ICS-seadmed. Schneider Electricu moodul suhtleb seadmetega tavaliste haldusprotokollide ja Modbusi (TCP 502) kaudu.

See moodul võib võimaldada osalejatel sooritada mitmesuguseid pahatahtlikke toiminguid, sealhulgas käivitada kiire skannimine, et tuvastada kõik kohalikus võrgus olevad Schneideri PLC-d; jõhkralt sundivad PLC paroolid; teenuse keelamise (DoS) rünnaku läbiviimine, et blokeerida PLC-d võrguside vastuvõtmisest; või "surmapaketi" rünnaku läbiviimine, et muuhulgas PLC kokku kukkuda, vastavalt nõuandele.

Agentuuride sõnul on APT tööriista teised moodulid sihitud OMRONi seadmetele ja saavad neid võrgust otsida ning täita muid kompromiteerivaid funktsioone.

Lisaks saavad OMRONi moodulid üles laadida agenti, mis võimaldab ohus osalejal HTTP ja/või HTTPSi ja/või HTTPS-i (HTTPS) kaudu ühenduse luua ja käske algatada (nt failidega manipuleerimine, pakettide hõivamine ja koodi täitmine).

Lõpuks sisaldab moodul, mis võimaldab OPC UA seadmeid ohustada, põhifunktsioone OPC UA serverite tuvastamiseks ja OPC UA serveriga ühenduse loomiseks, kasutades vaikimisi või varem ohustatud mandaate, hoiatasid agentuurid.

Soovitatavad leevendusmeetmed

Agentuurid pakkusid kriitilise infrastruktuuri pakkujatele ulatuslikku leevendusmeetmete loendit, et vältida APT tööriistade poolt nende süsteemide ohtu seadmist.

"See pole nii lihtne kui plaastri paigaldamine," märkis Tripwire'i Erwin. Nimekirjast tõi ta välja mõjutatud süsteemide isoleerimise; lõpp-punkti tuvastamise, konfigureerimise ja terviklikkuse jälgimise kasutamine; ja logianalüüs kui põhimeetmed, mida organisatsioonid peaksid oma süsteemide kaitsmiseks viivitamatult võtma.

Föderatsioonid soovitasid ka, et kriitilise infrastruktuuri pakkujatel oleks küberintsidentidele reageerimise plaan, mida kõik IT, küberjulgeoleku ja operatsioonide sidusrühmad teaksid ja saaksid vajadusel kiiresti rakendada, ning lisaks muudele leevendusmeetmetele säilitaksid kehtivad võrguühenduseta varukoopiad häiriva rünnaku korral kiiremaks taastumiseks. .

Pilve kolimine? Avastage esilekerkivaid pilveturbeohtusid koos kindlate nõuannetega, kuidas oma varasid meie abil kaitsta TASUTA allalaaditav e-raamat, "Pilveturve: prognoos 2022. aastaks". Uurime organisatsioonide peamisi riske ja väljakutseid, parimaid kaitsetavasid ja nõuandeid turvalisuse õnnestumiseks sellises dünaamilises andmetöötluskeskkonnas, sealhulgas käepäraseid kontrollnimekirju.