FBI: APT Memiliki Alat yang Dapat Mengambil Alih Infrastruktur Penting

Pelaku ancaman telah membangun dan siap untuk menggunakan alat yang dapat mengambil alih sejumlah perangkat sistem kontrol industri (ICS) yang banyak digunakan, yang menimbulkan masalah bagi penyedia infrastruktur penting—terutama yang berada di sektor energi, lembaga federal telah memperingatkan.

In penasehat bersama, Departemen Energi (DoE), Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA) dan FBI memperingatkan bahwa "aktor ancaman persisten lanjutan (APT) tertentu" telah menunjukkan kemampuan "untuk mendapatkan keuntungan penuh akses sistem ke beberapa perangkat sistem kontrol industri (ICS)/kontrol pengawasan dan akuisisi data (SCADA), ”menurut peringatan tersebut.

Alat yang dibuat khusus yang dikembangkan oleh APT memungkinkan mereka – setelah mereka mendapatkan akses ke jaringan teknologi operasional (OT) – untuk memindai, mengkompromikan, dan mengontrol perangkat yang terpengaruh, menurut agensi. Ini dapat menyebabkan sejumlah tindakan jahat, termasuk peningkatan hak istimewa, gerakan lateral dalam lingkungan PL, dan gangguan perangkat atau fungsi penting, kata mereka.

Perangkat yang berisiko adalah: Schneider Electric MODICON dan MODICON Nano pengontrol logika yang dapat diprogram (PLC), termasuk (namun mungkin tidak terbatas pada) TM251, TM241, M258, M238, LMC058, dan LMC078; PLC OMRON Sysmac NEX; dan server Open Platform Communications Unified Architecture (OPC UA), kata agensi.

APT juga dapat membahayakan workstation teknik berbasis Windows yang ada di lingkungan TI atau OT menggunakan eksploitasi untuk kerentanan yang diketahui di ASRock motherboard sopir, kata mereka.

Peringatan Harus Diperhatikan

Meskipun agen federal sering mengeluarkan nasihat tentang ancaman dunia maya, seorang profesional keamanan mendesak penyedia infrastruktur penting untuk tidak menganggap enteng peringatan khusus ini.

“Jangan salah, ini adalah peringatan penting dari CISA,” kata Tim Erlin, wakil presiden strategi di Tripwire, dalam email ke Threatpost. “Organisasi industri harus memperhatikan ancaman ini.”

Dia mencatat bahwa sementara peringatan itu sendiri berfokus pada alat untuk mendapatkan akses ke perangkat ICS tertentu, gambaran yang lebih besar adalah bahwa seluruh lingkungan kontrol industri berisiko setelah aktor ancaman mendapatkan pijakan.

“Penyerang memerlukan titik kompromi awal untuk mendapatkan akses ke sistem kontrol industri yang terlibat, dan organisasi harus membangun pertahanan mereka sesuai dengan itu,” saran Erlin.

Perangkat Modular

Agensi memberikan rincian alat modular yang dikembangkan oleh APT yang memungkinkan mereka untuk melakukan “eksploitasi yang sangat otomatis terhadap perangkat yang ditargetkan,” kata mereka.

Mereka menggambarkan alat tersebut memiliki konsol virtual dengan antarmuka perintah yang mencerminkan antarmuka perangkat ICS/SCADA yang ditargetkan. Modul berinteraksi dengan perangkat yang ditargetkan, memberi aktor ancaman dengan keterampilan yang lebih rendah kemampuan untuk meniru kemampuan yang lebih terampil, agensi memperingatkan.

Tindakan yang dapat dilakukan APT menggunakan modul meliputi: memindai perangkat yang ditargetkan, melakukan pengintaian pada detail perangkat, mengunggah konfigurasi/kode berbahaya ke perangkat yang ditargetkan, mencadangkan atau memulihkan konten perangkat, dan memodifikasi parameter perangkat.

Selain itu, aktor APT dapat menggunakan alat yang menginstal dan mengeksploitasi kerentanan di driver motherboard ASRock AsrDrv103.sys yang dilacak sebagai CVE-2020-15368. Cacat ini memungkinkan eksekusi kode berbahaya di kernel Windows, memfasilitasi pergerakan lateral lingkungan TI atau OT serta gangguan perangkat atau fungsi penting.

Menargetkan Perangkat Tertentu

Aktor juga memiliki modul khusus untuk menyerang yang lain perangkat ICS. Modul untuk Schneider Electric berinteraksi dengan perangkat melalui protokol manajemen normal dan Modbus (TCP 502).

Modul ini memungkinkan aktor untuk melakukan berbagai tindakan jahat, termasuk menjalankan pemindaian cepat untuk mengidentifikasi semua PLC Schneider di jaringan lokal; kata sandi PLC yang memaksa; melakukan serangan penolakan layanan (DoS) untuk memblokir PLC agar tidak menerima komunikasi jaringan; atau melakukan serangan "paket kematian" untuk merusak PLC, antara lain, menurut penasehat.

Modul lain dalam alat APT menargetkan perangkat OMRON dan dapat memindainya di jaringan serta melakukan fungsi kompromi lainnya, kata agensi.

Selain itu, modul OMRON dapat mengunggah agen yang memungkinkan aktor ancaman untuk terhubung dan memulai perintah—seperti manipulasi file, pengambilan paket, dan eksekusi kode—melalui HTTP dan/atau Hypertext Transfer Protocol Secure (HTTPS), menurut peringatan tersebut.

Terakhir, modul yang memungkinkan kompromi perangkat OPC UA mencakup fungsionalitas dasar untuk mengidentifikasi server OPC UA dan untuk terhubung ke server OPC UA menggunakan kredensial default atau kredensial yang sebelumnya dikompromikan, agensi memperingatkan.

Mitigasi yang Direkomendasikan

Badan-badan tersebut menawarkan daftar mitigasi yang ekstensif untuk penyedia infrastruktur penting untuk menghindari kompromi sistem mereka dengan alat APT.

“Ini tidak sesederhana menerapkan patch,” kata Erwin dari Tripwire. Dari daftar tersebut, dia mengutip mengisolasi sistem yang terpengaruh; menggunakan deteksi titik akhir, konfigurasi, dan pemantauan integritas; dan analisis log sebagai tindakan utama yang harus dilakukan organisasi dengan segera untuk melindungi sistem mereka.

FBI juga merekomendasikan agar penyedia infrastruktur kritis memiliki rencana respons insiden siber yang diketahui oleh semua pemangku kepentingan di bidang TI, keamanan siber, dan operasi, dan dapat diterapkan dengan cepat jika perlu, serta memelihara cadangan offline yang valid untuk pemulihan yang lebih cepat setelah serangan yang mengganggu, di antara mitigasi lainnya. .

Pindah ke awan? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang solid tentang cara mempertahankan aset Anda dengan kami eBook GRATIS yang dapat diunduh, “Keamanan Cloud: Perkiraan untuk 2022.” Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keberhasilan keamanan dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.