Uhkatoimijat ovat kehittäneet mukautettuja moduuleja vaarantaakseen erilaisia ICS-laitteita sekä Windows-työasemia, jotka muodostavat välittömän uhan erityisesti energiantarjoajille.
Uhkatoimijat ovat rakentaneet ja ovat valmiita ottamaan käyttöön työkaluja, jotka voivat ottaa haltuunsa useita laajalti käytettyjä teollisuuden ohjausjärjestelmien (ICS) laitteita, mikä aiheuttaa ongelmia kriittisen infrastruktuurin toimittajille – erityisesti energia-alan toimijoille, liittovaltion virastot ovat varoittaneet.
In yhteinen neuvonta, Department of Energy (DoE), Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) ja FBI varoittavat, että "tietyt kehittyneet jatkuvan uhkan (APT) toimijat" ovat jo osoittaneet kykynsä "saada täysi järjestelmän pääsy useisiin teollisiin ohjausjärjestelmiin (ICS)/valvonta- ja tiedonkeruulaitteisiin (SCADA), varoituksen mukaan.
APT:iden kehittämien räätälöityjen työkalujen avulla he voivat virastojen mukaan etsiä, vaarantaa ja hallita laitteita, joita he ovat päässeet käyttämään operatiivisen teknologian (OT) verkkoon. Tämä voi johtaa useisiin ilkeisiin toimiin, mukaan lukien oikeuksien korottaminen, sivuttaisliike OT-ympäristössä ja kriittisten laitteiden tai toimintojen häiriintyminen, he sanoivat.
Vaarassa olevat laitteet ovat: Schneider Electric MODICON- ja MODICON Nano-ohjelmoitavat logiikkaohjaimet (PLC), mukaan lukien (mutta ei rajoittuen) TM251, TM241, M258, M238, LMC058 ja LMC078; OMRON Sysmac NEX PLC:t; ja Open Platform Communications Unified Architecture (OPC UA) -palvelimet, virastot sanoivat.
APT:t voivat myös vaarantaa Windows-pohjaisia suunnittelutyöasemia, jotka ovat läsnä IT- tai OT-ympäristöissä käyttämällä hyväksikäyttöä ASRockin tunnetun haavoittuvuuden hyväksi. emolevy kuljettaja, he sanoivat.
Varoitus on otettava huomioon
Vaikka liittovaltion virastot antavat usein neuvoja kyberuhkista, yksi turvallisuusalan ammattilainen kehotti kriittisen infrastruktuurin tarjoajia olla ottamatta tätä erityistä varoitusta kevyesti.
"Älä erehdy, tämä on tärkeä hälytys CISAlta", sanoi Tim Erlin, Tripwiren strategiajohtaja Threatpostille lähettämässään sähköpostissa. "Teollisuusorganisaatioiden tulisi kiinnittää huomiota tähän uhkaan."
Hän huomautti, että vaikka itse hälytys keskittyy työkaluihin, joilla päästään käsiksi tiettyihin ICS-laitteisiin, suurempi kuva on, että koko teollinen ohjausympäristö on vaarassa, kun uhkatoimija saa jalansijaa.
"Hyökkääjät tarvitsevat alustavan kompromissin päästäkseen käsiksi kyseessä oleviin teollisuuden ohjausjärjestelmiin, ja organisaatioiden tulee rakentaa puolustustaan sen mukaisesti", Erlin neuvoi.
Modulaarinen työkalusarja
Virastot toimittivat erittelyn APT:iden kehittämistä modulaarisista työkaluista, joiden avulla ne voivat suorittaa "erittäin automatisoituja hyväksikäyttöjä kohdistettuja laitteita vastaan", he sanoivat.
He kuvasivat työkaluja virtuaalisen konsolin sisältävän komentoliittymän, joka peilaa kohteena olevan ICS/SCADA-laitteen käyttöliittymää. Moduulit ovat vuorovaikutuksessa kohdistettujen laitteiden kanssa, mikä antaa jopa heikommin koulutetuille uhkien toimijoille mahdollisuuden jäljitellä korkeasti koulutettuja ominaisuuksia, virastot varoittivat.
Toimintoja, joita APT:t voivat suorittaa moduulien avulla, ovat kohdistettujen laitteiden etsiminen, laitetietojen tarkastaminen, haitallisen kokoonpanon/koodin lataaminen kohdelaitteeseen, laitteen sisällön varmuuskopiointi tai palauttaminen ja laiteparametrien muokkaaminen.
Lisäksi APT-näyttelijät voivat käyttää työkalua, joka asentaa ja hyödyntää haavoittuvuutta ASRock-emolevyohjaimessa AsrDrv103.sys. CVE-2020-15368. Virhe mahdollistaa haitallisen koodin suorittamisen Windows-ytimessä, mikä helpottaa IT- tai OT-ympäristön sivuttaisliikettä sekä kriittisten laitteiden tai toimintojen häiriöitä.
Kohdistus tiettyihin laitteisiin
Näyttelijöillä on myös erityiset moduulit hyökätäkseen toisiaan vastaan ICS-laitteet. Schneider Electricin moduuli on vuorovaikutuksessa laitteiden kanssa normaaleiden hallintaprotokollien ja Modbusin (TCP 502) kautta.
Tämä moduuli voi sallia toimijoiden suorittaa erilaisia haitallisia toimia, mukaan lukien nopean tarkistuksen suorittamisen kaikkien paikallisverkon Schneiderin PLC:iden tunnistamiseksi; raa'at pakottavat PLC-salasanat; suoritetaan palvelunestohyökkäys (DoS) estämään PLC:tä vastaanottamasta verkkoviestintää; tai "kuolemanpaketti" -hyökkäyksen suorittaminen muun muassa PLC:n kaatamiseksi neuvonnan mukaan.
Muut APT-työkalun moduulit kohdistuvat OMRON-laitteisiin ja voivat etsiä niitä verkosta sekä suorittaa muita vaarallisia toimintoja, virastot sanoivat.
Lisäksi OMRON-moduulit voivat ladata agentin, jonka avulla uhkatekijä voi muodostaa yhteyden ja aloittaa komentoja, kuten tiedostojen käsittelyn, pakettien sieppauksen ja koodin suorittamisen, HTTP:n ja/tai HTTPS:n (Hypertext Transfer Protocol Securen) kautta hälytyksen mukaan.
Lopuksi moduuli, joka mahdollistaa OPC UA -laitteiden vaarantamisen, sisältää perustoiminnot OPC UA -palvelimien tunnistamiseen ja yhteyden muodostamiseen OPC UA -palvelimeen käyttämällä oletusarvoja tai aiemmin vaarantuneita tunnistetietoja, virastot varoittivat.
Suositeltavat lievennykset
Virasto tarjosi laajan luettelon lieventämiskeinoista kriittisen infrastruktuurin tarjoajille välttääkseen APT-työkalujen aiheuttaman järjestelmiensä vaarantamisen.
"Tämä ei ole niin yksinkertaista kuin laastarin kiinnittäminen", Tripwiren Erwin huomautti. Luettelosta hän mainitsi vaikuttavien järjestelmien eristämisen; käyttää päätepisteiden havaitsemista, konfigurointia ja eheyden valvontaa; ja lokianalyysit tärkeimpinä toimenpiteinä, joihin organisaatioiden tulee ryhtyä välittömästi järjestelmiensä suojaamiseksi.
Keskusliitot suosittelivat myös, että kriittisen infrastruktuurin toimittajilla on kyberhäiriöiden reagointisuunnitelma, jonka kaikki IT:n, kyberturvallisuuden ja toiminnan sidosryhmät tietävät ja voivat tarvittaessa ottaa nopeasti käyttöön, sekä ylläpitämään kelvollisia offline-varmuuskopioita häiriöhyökkäyksen nopeampaa toipumista varten. .
Siirtyminen pilveen? Tutustu uusiin pilvitietoturvauhkiin sekä vankat neuvot, miten voit puolustaa omaisuuttasi ILMAINEN ladattava e-kirja, "Pilviturvallisuus: Ennuste vuodelle 2022". Tutkimme organisaatioiden tärkeimpiä riskejä ja haasteita, parhaita käytäntöjä puolustukseen ja neuvoja turvallisuuden menestymiseen näin dynaamisessa laskentaympäristössä, mukaan lukien käteviä tarkistuslistoja.
- blockchain
- coingenius
- Kriittinen infrastruktuuri
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
