A fenyegetés szereplői egyedi modulokat fejlesztettek ki, hogy kompromittáljanak különböző ICS-eszközöket, valamint Windows-munkaállomásokat, amelyek közvetlen veszélyt jelentenek, különösen az energiaszolgáltatók számára.
A fenyegetés szereplői olyan eszközöket építettek és készek bevetni, amelyek átvehetik számos széles körben használt ipari vezérlőrendszer (ICS) eszközt, ami gondot jelent a kritikus infrastruktúra szolgáltatói számára – különösen az energiaszektorban – figyelmeztettek a szövetségi ügynökségek.
In közös tanácsadó, az Energiaügyi Minisztérium (DoE), a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA), a Nemzetbiztonsági Ügynökség (NSA) és az FBI arra figyelmeztet, hogy „bizonyos fejlett, tartós fenyegetés (APT) szereplői” már bizonyították, hogy képesek „teljesíteni rendszer-hozzáférés több ipari vezérlőrendszerhez (ICS)/felügyeleti vezérlő és adatgyűjtő (SCADA) eszközhöz” – áll a riasztásban.
Az ügynökségek szerint az APT-k által kifejlesztett, testre szabott eszközök lehetővé teszik számukra – miután hozzáfértek az operatív technológiai (OT) hálózathoz –, hogy megkeressék, kompromittáljanak és irányítsák az érintett eszközöket. Ez számos aljas cselekedethez vezethet, beleértve a jogosultságok megemelését, az OT-környezeten belüli oldalirányú mozgást, valamint a kritikus eszközök vagy funkciók megzavarását.
A veszélyeztetett eszközök a következők: Schneider Electric MODICON és MODICON Nano programozható logikai vezérlők (PLC), beleértve (de nem kizárólagosan) TM251, TM241, M258, M238, LMC058 és LMC078; OMRON Sysmac NEX PLC-k; és az Open Platform Communications Unified Architecture (OPC UA) szerverek – közölték az ügynökségek.
Az APT-k feltörhetik a Windows-alapú mérnöki munkaállomásokat is, amelyek informatikai vagy OT-környezetekben jelen vannak az ASRock ismert sebezhetőségének kihasználásával. alaplap sofőr – mondták.
Figyelmeztetés Figyelembe kell venni
Bár a szövetségi ügynökségek gyakran adnak ki tanácsokat a kiberfenyegetésekkel kapcsolatban, egy biztonsági szakember sürgette kritikus infrastruktúra szolgáltatók hogy ne vegye félvállról ezt a bizonyos figyelmeztetést.
„Ne tévedjünk, ez egy fontos figyelmeztetés a CISA-tól” – jegyezte meg Tim Erlin, a Tripwire stratégiai alelnöke a Threatpostnak küldött e-mailben. "Az ipari szervezeteknek figyelniük kell erre a veszélyre."
Megjegyezte, hogy bár maga a riasztás az egyes ICS-eszközökhöz való hozzáféréshez szükséges eszközökre összpontosít, a nagyobb kép az, hogy az egész ipari vezérlőkörnyezet veszélyben van, amint egy fenyegetett szereplő megveti a lábát.
„A támadóknak egy kezdeti kompromisszumra van szükségük ahhoz, hogy hozzáférhessenek az érintett ipari vezérlőrendszerekhez, és a szervezeteknek ennek megfelelően kell kialakítaniuk védelmüket” – tanácsolta Erlin.
Moduláris eszközkészlet
Az ügynökségek ismertették az APT-k által kifejlesztett moduláris eszközöket, amelyek lehetővé teszik számukra, hogy „nagyon automatizált kizsákmányolást hajtsanak végre a célzott eszközök ellen” – mondták.
Az eszközöket úgy írták le, mint amelyek egy virtuális konzolt tartalmaznak egy parancsfelülettel, amely tükrözi a megcélzott ICS/SCADA eszköz interfészét. A modulok kölcsönhatásba lépnek a célzott eszközökkel, így még az alacsonyabban képzett fenyegetés szereplői is képesek a magasabban képzett képességek emulálására – figyelmeztettek az ügynökségek.
Az APT-k által a modulok használatával végrehajtható műveletek a következők: megcélzott eszközök keresése, az eszköz részleteinek felderítése, rosszindulatú konfiguráció/kód feltöltése a megcélzott eszközre, az eszköz tartalmának biztonsági mentése vagy visszaállítása, valamint az eszköz paramétereinek módosítása.
Ezenkívül az APT szereplői használhatnak egy olyan eszközt, amely telepíti és kihasználja az ASRock alaplapi AsrDrv103.sys illesztőprogram egy sebezhetőségét. CVE-2020 15368-. A hiba lehetővé teszi a rosszindulatú kódok futtatását a Windows kernelben, megkönnyítve az IT- vagy OT-környezet oldalirányú mozgását, valamint a kritikus eszközök vagy funkciók megzavarását.
Konkrét eszközök célzása
A színészek egy speciális modullal is megtámadják a másikat ICS eszközök. A Schneider Electric modulja normál felügyeleti protokollokon és Modbuson (TCP 502) keresztül kommunikál az eszközökkel.
Ez a modul lehetővé teheti a szereplők számára, hogy különféle rosszindulatú műveleteket hajtsanak végre, beleértve a gyors vizsgálatot a helyi hálózaton lévő összes Schneider PLC azonosítására; brute-forcing PLC jelszavak; szolgáltatásmegtagadási (DoS) támadás lebonyolítása, hogy blokkolja a PLC-t a hálózati kommunikáció fogadásában; vagy „halálcsomag” támadást hajtanak végre a PLC összeomlására, többek között a tanácsadó szerint.
Az APT eszköz más moduljai az OMRON eszközöket célozzák meg, és képesek keresni azokat a hálózaton, valamint más kompromittáló funkciókat is ellátni – közölték az ügynökségek.
Ezenkívül az OMRON modulok olyan ügynököt tölthetnek fel, amely lehetővé teszi a fenyegetés szereplői számára, hogy HTTP-n és/vagy HTTPS-en (HTTPS) keresztül csatlakozzanak és parancsokat kezdeményezzenek – például fájlkezelést, csomagrögzítést és kódvégrehajtást – a figyelmeztetésnek megfelelően.
Végül egy modul, amely lehetővé teszi az OPC UA eszközök kompromittálását, alapvető funkciókat tartalmaz az OPC UA szerverek azonosításához és az OPC UA szerverhez való csatlakozáshoz az alapértelmezett vagy korábban feltört hitelesítő adatok használatával – figyelmeztettek az ügynökségek.
Ajánlott mérséklések
Az ügynökségek a kritikus infrastruktúra-szolgáltatók számára a mérséklések széles listáját kínálták, hogy elkerüljék rendszereik APT-eszközök általi kompromittálását.
„Ez nem olyan egyszerű, mint egy tapaszt felhelyezni” – jegyezte meg Erwin, a Tripwire munkatársa. A listáról az érintett rendszerek elkülönítését említette; végpont-észlelés, konfiguráció és integritásfigyelés alkalmazása; és a naplóelemzés, mint kulcsfontosságú intézkedés, amelyet a szervezeteknek azonnal meg kell tenniük rendszereik védelme érdekében.
A szövetségi szövetségek azt is javasolták, hogy a kritikus infrastruktúra-szolgáltatók rendelkezzenek kiberincidens-reagálási tervvel, amelyet az IT, a kiberbiztonság és a műveletek valamennyi érdekelt fele ismer, és szükség esetén gyorsan be is tud hajtani, valamint tartsanak fenn érvényes offline biztonsági mentéseket a zavaró támadások esetén történő gyorsabb helyreállítás érdekében, többek között más mérséklések mellett. .
Költözni a felhőbe? Fedezze fel az újonnan megjelenő felhőalapú biztonsági fenyegetéseket, valamint határozott tanácsokat arra vonatkozóan, hogyan védheti meg eszközeit a mi eszközeinkkel INGYENES letölthető e-könyv, „Cloud Security: Az előrejelzés 2022-re”. Feltérképezzük a szervezetek legfőbb kockázatait és kihívásait, a védekezés legjobb gyakorlatait, és tanácsokat adunk a biztonsági siker érdekében egy ilyen dinamikus számítástechnikai környezetben, beleértve a praktikus ellenőrző listákat.
