थ्रेट एक्टर्स ने विभिन्न आईसीएस उपकरणों के साथ-साथ विंडोज वर्कस्टेशन से समझौता करने के लिए कस्टम मॉड्यूल विकसित किए हैं जो विशेष रूप से ऊर्जा प्रदाताओं के लिए एक आसन्न खतरा पैदा करते हैं।
थ्रेट एक्टर्स ने ऐसे उपकरण बनाए हैं और तैनात करने के लिए तैयार हैं जो कई व्यापक रूप से उपयोग किए जाने वाले औद्योगिक नियंत्रण प्रणाली (आईसीएस) उपकरणों को ले सकते हैं, जो महत्वपूर्ण बुनियादी ढांचा प्रदाताओं के लिए परेशानी का कारण बनते हैं- विशेष रूप से ऊर्जा क्षेत्र में, संघीय एजेंसियों ने चेतावनी दी है।
In एक संयुक्त सलाह, ऊर्जा विभाग (DoE), साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (CISA), राष्ट्रीय सुरक्षा एजेंसी (NSA) और FBI ने चेतावनी दी है कि "कुछ उन्नत लगातार खतरे (APT) अभिनेताओं" ने पहले ही "पूर्ण हासिल करने की क्षमता" का प्रदर्शन किया है। अलर्ट के अनुसार, मल्टीपल इंडस्ट्रियल कंट्रोल सिस्टम (ICS) / सुपरवाइजरी कंट्रोल एंड डेटा एक्विजिशन (SCADA) डिवाइसेस तक सिस्टम एक्सेस।
एजेंसियों के अनुसार, एपीटी द्वारा विकसित किए गए कस्टम-मेड टूल उन्हें-एक बार ऑपरेशनल टेक्नोलॉजी (ओटी) नेटवर्क तक पहुंच प्राप्त करने के बाद-प्रभावित उपकरणों को स्कैन करने, समझौता करने और नियंत्रित करने की अनुमति देते हैं। उन्होंने कहा कि इससे कई नापाक कार्रवाइयां हो सकती हैं, जिनमें विशेषाधिकारों का उन्नयन, ओटी वातावरण के भीतर पार्श्व आंदोलन और महत्वपूर्ण उपकरणों या कार्यों में व्यवधान शामिल है।
जोखिम में डिवाइस हैं: श्नाइडर इलेक्ट्रिक मोडिकॉन और मोडिकॉन नैनो प्रोग्रामेबल लॉजिक कंट्रोलर (पीएलसी), जिनमें टीएम251, टीएम241, एम258, एम238, एलएमसी058, और एलएमसी078 शामिल हैं (लेकिन इन्हीं तक सीमित नहीं हैं); ओमरॉन सिसमैक नेक्स पीएलसी; और ओपन प्लेटफॉर्म कम्युनिकेशंस यूनिफाइड आर्किटेक्चर (ओपीसी यूए) सर्वर, एजेंसियों ने कहा।
एपीटी विंडोज-आधारित इंजीनियरिंग वर्कस्टेशन से भी समझौता कर सकते हैं जो आईटी या ओटी वातावरण में मौजूद हैं और एएसआरॉक में एक ज्ञात भेद्यता के लिए शोषण का उपयोग कर रहे हैं। मदरबोर्ड ड्राइवर, उन्होंने कहा।
चेतावनी पर ध्यान दिया जाना चाहिए
हालांकि संघीय एजेंसियां अक्सर साइबर खतरों पर सलाह देती हैं, एक सुरक्षा पेशेवर ने आग्रह किया महत्वपूर्ण बुनियादी ढांचा प्रदाता इस विशेष चेतावनी को हल्के में न लें।
"कोई गलती न करें, यह सीआईएसए से एक महत्वपूर्ण चेतावनी है," ट्रिपवायर में रणनीति के उपाध्यक्ष टिम एर्लिन ने थ्रेटपोस्ट को एक ईमेल में देखा। "औद्योगिक संगठनों को इस खतरे पर ध्यान देना चाहिए।"
उन्होंने कहा कि जहां अलर्ट स्वयं विशिष्ट आईसीएस उपकरणों तक पहुंच प्राप्त करने के लिए उपकरणों पर ध्यान केंद्रित कर रहा है, वहीं बड़ी तस्वीर यह है कि एक बार खतरे वाले अभिनेता के पैर जमाने पर संपूर्ण औद्योगिक नियंत्रण वातावरण खतरे में पड़ जाता है।
"हमलावरों को शामिल औद्योगिक नियंत्रण प्रणालियों तक पहुंच प्राप्त करने के लिए समझौता के प्रारंभिक बिंदु की आवश्यकता होती है, और संगठनों को तदनुसार अपनी सुरक्षा का निर्माण करना चाहिए," एर्लिन ने सलाह दी।
मॉड्यूलर टूलसेट
एजेंसियों ने एपीटी द्वारा विकसित मॉड्यूलर टूल का एक ब्रेकडाउन प्रदान किया जो उन्हें "लक्षित उपकरणों के खिलाफ अत्यधिक स्वचालित शोषण" करने की अनुमति देता है, उन्होंने कहा।
उन्होंने टूल को एक कमांड इंटरफ़ेस के साथ वर्चुअल कंसोल के रूप में वर्णित किया जो लक्षित ICS/SCADA डिवाइस के इंटरफ़ेस को प्रतिबिंबित करता है। एजेंसियों ने चेतावनी दी कि मॉड्यूल लक्षित उपकरणों के साथ बातचीत करते हैं, यहां तक कि कम-कुशल खतरे वाले अभिनेताओं को भी उच्च-कुशल क्षमताओं का अनुकरण करने की क्षमता देते हैं।
मॉड्यूल का उपयोग करके एपीटी द्वारा की जाने वाली कार्रवाइयों में शामिल हैं: लक्षित उपकरणों के लिए स्कैनिंग, डिवाइस विवरण पर टोह लेना, लक्षित डिवाइस पर दुर्भावनापूर्ण कॉन्फ़िगरेशन/कोड अपलोड करना, डिवाइस सामग्री का बैकअप लेना या पुनर्स्थापित करना, और डिवाइस पैरामीटर को संशोधित करना।
इसके अलावा, एपीटी अभिनेता एक उपकरण का उपयोग कर सकते हैं जो एएसआरॉक मदरबोर्ड ड्राइवर AsrDrv103.sys में एक भेद्यता को स्थापित और शोषण करता है जिसे ट्रैक किया गया है CVE-2020-15368. दोष विंडोज कर्नेल में दुर्भावनापूर्ण कोड के निष्पादन की अनुमति देता है, पार्श्व आंदोलन को आईटी या ओटी वातावरण के साथ-साथ महत्वपूर्ण उपकरणों या कार्यों के विघटन की सुविधा देता है।
विशिष्ट उपकरणों को लक्षित करना
अभिनेताओं के पास दूसरे पर हमला करने के लिए एक विशिष्ट मॉड्यूल भी होता है आईसीएस डिवाइस. श्नाइडर इलेक्ट्रिक के लिए मॉड्यूल सामान्य प्रबंधन प्रोटोकॉल और मोडबस (टीसीपी 502) के माध्यम से उपकरणों के साथ बातचीत करता है।
यह मॉड्यूल अभिनेताओं को स्थानीय नेटवर्क पर सभी श्नाइडर पीएलसी की पहचान करने के लिए तेजी से स्कैन चलाने सहित विभिन्न दुर्भावनापूर्ण कार्य करने की अनुमति दे सकता है; ब्रूट-फोर्सिंग पीएलसी पासवर्ड; पीएलसी को नेटवर्क संचार प्राप्त करने से रोकने के लिए सेवा से इनकार (DoS) हमला करना; या सलाहकार के अनुसार, पीएलसी को दुर्घटनाग्रस्त करने के लिए "मौत का पैकेट" हमला करना, दूसरों के बीच में।
एजेंसियों ने कहा कि एपीटी टूल में अन्य मॉड्यूल ओमरॉन उपकरणों को लक्षित करते हैं और नेटवर्क पर उनके लिए स्कैन कर सकते हैं और साथ ही अन्य समझौता कार्य भी कर सकते हैं।
इसके अतिरिक्त, OMRON मॉड्यूल एक एजेंट को अपलोड कर सकते हैं जो एक खतरे वाले अभिनेता को कमांड को जोड़ने और आरंभ करने की अनुमति देता है - जैसे कि फ़ाइल हेरफेर, पैकेट कैप्चर और कोड निष्पादन - HTTP और / या हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) के माध्यम से, अलर्ट के अनुसार।
अंत में, एक मॉड्यूल जो ओपीसी यूए उपकरणों से समझौता करने की अनुमति देता है, उसमें ओपीसी यूए सर्वर की पहचान करने और डिफ़ॉल्ट या पहले से समझौता किए गए क्रेडेंशियल्स का उपयोग करके ओपीसी यूए सर्वर से कनेक्ट करने के लिए बुनियादी कार्यक्षमता शामिल है, एजेंसियों ने चेतावनी दी।
अनुशंसित न्यूनीकरण
एजेंसियों ने एपीटी टूल द्वारा अपने सिस्टम के साथ समझौता करने से बचने के लिए महत्वपूर्ण बुनियादी ढांचा प्रदाताओं के लिए शमन की एक विस्तृत सूची की पेशकश की।
ट्रिपवायर के इरविन ने कहा, "यह पैच लगाने जितना आसान नहीं है।" सूची में से, उन्होंने प्रभावित प्रणालियों को अलग-थलग करने का हवाला दिया; समापन बिंदु का पता लगाने, कॉन्फ़िगरेशन और अखंडता निगरानी को नियोजित करना; और विश्लेषण लॉग करें क्योंकि प्रमुख कार्य संगठनों को अपने सिस्टम की सुरक्षा के लिए तुरंत करना चाहिए।
फेड ने यह भी सिफारिश की कि क्रिटिकल-इन्फ्रास्ट्रक्चर प्रदाताओं के पास एक साइबर घटना प्रतिक्रिया योजना है जिसे आईटी, साइबर सुरक्षा और संचालन में सभी हितधारकों को पता है और यदि आवश्यक हो तो जल्दी से लागू कर सकते हैं, साथ ही अन्य शमन के बीच एक विघटनकारी हमले पर तेजी से वसूली के लिए वैध ऑफ़लाइन बैकअप बनाए रख सकते हैं। .
बादल की ओर बढ़ रहा है? हमारे साथ अपनी संपत्तियों की रक्षा कैसे करें, इस बारे में ठोस सलाह के साथ उभरते हुए क्लाउड-सुरक्षा खतरों की खोज करें मुफ्त डाउनलोड करने योग्य ईबुक, "क्लाउड सुरक्षा: 2022 के लिए पूर्वानुमान।" हम संगठनों के शीर्ष जोखिमों और चुनौतियों का पता लगाते हैं, रक्षा के लिए सर्वोत्तम अभ्यास और ऐसे गतिशील कंप्यूटिंग वातावरण में सुरक्षा सफलता के लिए सलाह, जिसमें आसान चेकलिस्ट शामिल हैं।
