عوامل تهدید ماژولهای سفارشی را برای به خطر انداختن دستگاههای مختلف ICS و همچنین ایستگاههای کاری ویندوز که تهدیدی قریبالوقوع هستند، بهویژه برای تأمینکنندگان انرژی ایجاد کردهاند.
آژانسهای فدرال هشدار دادهاند که عوامل تهدید ابزارهایی را ساختهاند که میتوانند تعدادی از دستگاههای سیستم کنترل صنعتی (ICS) را تحت کنترل خود درآورند، که برای تامینکنندگان زیرساختهای حیاتی - بهویژه آنهایی که در بخش انرژی هستند، دردسر ایجاد میکند.
In یک مشاوره مشترک، وزارت انرژی (DoE)، آژانس امنیت سایبری و امنیت زیرساخت (CISA)، آژانس امنیت ملی (NSA) و FBI هشدار می دهند که «بعضی از بازیگران تهدید دائمی پیشرفته (APT)» قبلاً توانایی «به دست آوردن کامل» را نشان داده اند. دسترسی سیستم به چندین سیستم کنترل صنعتی (ICS)/دستگاههای کنترل نظارتی و جمعآوری دادهها (SCADA)» بر اساس این هشدار.
به گفته آژانسها، ابزارهای سفارشیسازیشده توسط APTs به آنها اجازه میدهد – پس از دسترسی به شبکه فناوری عملیاتی (OT) – دستگاههای آسیبدیده را اسکن، به خطر بیاندازند و کنترل کنند. به گفته آنها، این می تواند به تعدادی از اقدامات شرور منجر شود، از جمله افزایش امتیازات، حرکت جانبی در یک محیط OT، و اختلال در دستگاه ها یا عملکردهای حیاتی.
دستگاههای در معرض خطر عبارتند از: اشنایدر الکتریک MODICON و MODICON کنترلکنندههای منطقی قابل برنامهریزی نانو (PLC)، شامل TM251، TM241، M258، M238، LMC058، و LMC078 (اما ممکن است محدود نباشد). PLC های OMRON Sysmac NEX; آژانسها گفتند و سرورهای Open Platform Communications Unified Architecture (OPC UA).
APT ها همچنین می توانند ایستگاه های کاری مهندسی مبتنی بر ویندوز را که در محیط های IT یا OT با استفاده از یک اکسپلویت برای یک آسیب پذیری شناخته شده در ASRock وجود دارند، به خطر بیاندازند. مادربرد راننده گفتند.
هشدار باید مورد توجه قرار گیرد
اگرچه آژانس های فدرال اغلب در مورد تهدیدات سایبری توصیه هایی ارائه می دهند، یک متخصص امنیتی اصرار کرد ارائه دهندگان زیرساخت های حیاتی این هشدار خاص را ساده نگیرید.
تیم ارلین، معاون استراتژی در Tripwire، در ایمیلی به Threatpost اظهار داشت: «اشتباه نکنید، این یک هشدار مهم از CISA است. سازمان های صنعتی باید به این تهدید توجه کنند.
وی خاطرنشان کرد که در حالی که خود هشدار بر ابزارهایی برای دسترسی به دستگاه های خاص ICS متمرکز است، تصویر بزرگتر این است که کل محیط کنترل صنعتی به محض اینکه یک عامل تهدید جایگاه خود را به دست آورد، در معرض خطر قرار می گیرد.
ارلین توصیه کرد: «حملهکنندگان برای دستیابی به سیستمهای کنترل صنعتی درگیر به یک نقطه اولیه مصالحه نیاز دارند و سازمانها باید دفاع خود را بر این اساس بسازند».
مجموعه ابزار مدولار
آنها گفتند که این آژانس ها تجزیه و تحلیل ابزارهای مدولار توسعه یافته توسط APT ها را ارائه کردند که به آنها امکان می دهد "سوء استفاده های بسیار خودکار علیه دستگاه های هدف" انجام دهند.
آنها این ابزارها را به عنوان داشتن یک کنسول مجازی با یک رابط فرمان توصیف کردند که رابط دستگاه ICS/SCADA مورد نظر را منعکس می کند. آژانسها هشدار دادند که ماژولها با دستگاههای هدف تعامل میکنند و حتی به عوامل تهدید با مهارت پایینتر این امکان را میدهند که از قابلیتهای با مهارت بالاتر تقلید کنند.
اقداماتی که APT ها می توانند با استفاده از ماژول ها انجام دهند عبارتند از: اسکن دستگاه های مورد نظر، انجام شناسایی جزئیات دستگاه، آپلود پیکربندی/کد مخرب در دستگاه مورد نظر، پشتیبان گیری یا بازیابی محتویات دستگاه، و اصلاح پارامترهای دستگاه.
علاوه بر این، بازیگران APT میتوانند از ابزاری استفاده کنند که یک آسیبپذیری در درایور مادربرد ASRock AsrDrv103.sys را نصب و از آن بهرهبرداری میکند. CVE-2020-15368. این نقص امکان اجرای کدهای مخرب در هسته ویندوز را فراهم میکند و حرکت جانبی یک محیط IT یا OT و همچنین اختلال در دستگاهها یا عملکردهای حیاتی را تسهیل میکند.
هدف قرار دادن دستگاه های خاص
بازیگران نیز ماژول های خاصی برای حمله به دیگری دارند دستگاه های ICS. ماژول برای اشنایدر الکتریک از طریق پروتکل های مدیریت عادی و Modbus (TCP 502) با دستگاه ها تعامل دارد.
این ماژول ممکن است به بازیگران اجازه دهد تا اقدامات مخرب مختلفی را انجام دهند، از جمله اجرای یک اسکن سریع برای شناسایی همه PLC های Schneider در شبکه محلی. گذرواژههای بیرحمانه PLC؛ انجام یک حمله انکار سرویس (DoS) برای مسدود کردن PLC از دریافت ارتباطات شبکه. یا انجام یک حمله "بسته مرگ" برای از بین بردن PLC، در میان دیگران، بر اساس مشاوره.
به گفته آژانسها، ماژولهای دیگر در ابزار APT دستگاههای OMRON را هدف قرار میدهند و میتوانند آنها را در شبکه اسکن کنند و همچنین سایر عملکردهای مخرب را انجام دهند.
علاوه بر این، ماژولهای OMRON میتوانند عاملی را آپلود کنند که به عامل تهدید اجازه میدهد تا با توجه به هشدار، از طریق HTTP و/یا Hypertext Transfer Protocol Secure (HTTPS) دستورات را -مانند دستکاری فایل، ضبط بستهها و اجرای کد- متصل و آغاز کند.
در نهایت، آژانسها هشدار دادند که ماژولی که اجازه میدهد دستگاههای OPC UA را به خطر بیاندازد، شامل عملکردهای اساسی برای شناسایی سرورهای OPC UA و اتصال به سرور OPC UA با استفاده از اعتبارنامههای پیشفرض یا در معرض خطر قبلی است.
اقدامات کاهشی توصیه شده
این آژانس ها فهرست گسترده ای از اقدامات کاهشی را برای ارائه دهندگان زیرساخت های حیاتی ارائه کردند تا از به خطر افتادن سیستم های خود توسط ابزارهای APT جلوگیری کنند.
اروین از Tripwire خاطرنشان کرد: «این کار به سادگی اعمال یک پچ نیست. از این لیست، او به جداسازی سیستم های آسیب دیده اشاره کرد. استفاده از تشخیص نقطه پایانی، پیکربندی و نظارت بر یکپارچگی؛ و تجزیه و تحلیل گزارش به عنوان اقدامات کلیدی که سازمان ها باید فوراً برای محافظت از سیستم های خود انجام دهند.
فدرال رزرو همچنین توصیه کرد که ارائه دهندگان زیرساخت های حیاتی یک طرح پاسخگویی به حوادث سایبری داشته باشند که همه ذینفعان در فناوری اطلاعات، امنیت سایبری و عملیات آن را می دانند و در صورت لزوم می توانند به سرعت آن را اجرا کنند، همچنین پشتیبان گیری آفلاین معتبر را برای بازیابی سریعتر در صورت حمله مخرب، از جمله سایر اقدامات کاهشی، حفظ کنند. .
حرکت به سمت ابر؟ تهدیدهای نوظهور امنیت ابری را همراه با توصیه های قوی برای نحوه دفاع از دارایی های خود با ما کشف کنید کتاب الکترونیکی قابل دانلود رایگان، "امنیت ابری: پیش بینی برای سال 2022." ما خطرات و چالشهای اصلی سازمانها، بهترین شیوههای دفاعی، و توصیههایی برای موفقیت در امنیت در چنین محیط محاسباتی پویا، از جمله چکلیستهای مفید را بررسی میکنیم.