Bedreigingsactoren hebben aangepaste modules ontwikkeld om verschillende ICS-apparaten en Windows-werkstations te compromitteren die een onmiddellijke bedreiging vormen, met name voor energieleveranciers.
Bedreigingsactoren hebben tools gebouwd en zijn klaar om in te zetten die een aantal veelgebruikte industriรซle controlesysteem (ICS) -apparaten kunnen overnemen, wat problemen oplevert voor leveranciers van kritieke infrastructuur, met name die in de energiesector, hebben federale agentschappen gewaarschuwd.
In een gezamenlijk advies, waarschuwen het Department of Energy (DoE), de Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA) en de FBI dat "bepaalde geavanceerde persistent threat (APT)-actoren" al hebben aangetoond dat "om volledige systeemtoegang tot meerdere apparaten voor industriรซle controlesystemen (ICS)/supervisory control en data-acquisitie (SCADA), aldus de waarschuwing.
Met de op maat gemaakte tools die door de APT's zijn ontwikkeld, kunnen ze - zodra ze toegang hebben gekregen tot het operationele technologie (OT) -netwerk - de getroffen apparaten scannen, compromitteren en controleren, aldus de instanties. Dit kan leiden tot een aantal snode acties, waaronder de verhoging van privileges, zijwaartse bewegingen binnen een OT-omgeving en de verstoring van kritieke apparaten of functies, zeiden ze.
Apparaten die risico lopen zijn: Schneider Electric MODICON en MODICON Nano programmeerbare logische controllers (PLC's), inclusief (maar mogelijk niet beperkt tot) TM251, TM241, M258, M238, LMC058 en LMC078; OMRON Sysmac NEX PLC's; en Open Platform Communications Unified Architecture (OPC UA) -servers, aldus de bureaus.
De APT's kunnen ook op Windows gebaseerde technische werkstations compromitteren die aanwezig zijn in IT- of OT-omgevingen met behulp van een exploit voor een bekende kwetsbaarheid in een ASRock moederbord chauffeur, zeiden ze.
Waarschuwing moet worden opgevolgd
Hoewel federale agentschappen vaak advies uitbrengen over cyberdreigingen, drong een beveiligingsprofessional erop aan: leveranciers van kritieke infrastructuur om deze specifieke waarschuwing niet licht op te vatten.
"Vergis je niet, dit is een belangrijke waarschuwing van CISA", merkte Tim Erlin, vice-president strategie bij Tripwire, op in een e-mail aan Threatpost. โIndustriรซle organisaties moeten aandacht besteden aan deze dreiging.โ
Hij merkte op dat hoewel de waarschuwing zelf gericht is op tools om toegang te krijgen tot specifieke ICS-apparaten, het grotere plaatje is dat de hele industriรซle controleomgeving in gevaar komt zodra een dreigingsactor voet aan de grond krijgt.
"Aanvallers hebben een eerste compromis nodig om toegang te krijgen tot de betrokken industriรซle controlesystemen, en organisaties moeten hun verdediging dienovereenkomstig opbouwen", adviseerde Erlin.
Modulaire gereedschapset
De bureaus hebben een overzicht gegeven van de modulaire tools die zijn ontwikkeld door APT's waarmee ze "zeer geautomatiseerde exploits tegen gerichte apparaten" kunnen uitvoeren, zeiden ze.
Ze beschreven de tools als een virtuele console met een opdrachtinterface die de interface van het beoogde ICS/SCADA-apparaat weerspiegelt. Modules werken samen met gerichte apparaten, waardoor zelfs lager opgeleide dreigingsactoren de mogelijkheid krijgen om hoger opgeleide capaciteiten te emuleren, waarschuwden de instanties.
Acties die de APT's kunnen ondernemen met behulp van de modules zijn onder meer: โโscannen naar gerichte apparaten, verkenning van apparaatdetails, het uploaden van kwaadaardige configuratie/code naar het doelapparaat, back-up of herstel van de apparaatinhoud en het wijzigen van apparaatparameters.
Bovendien kunnen de APT-actoren een tool gebruiken die een kwetsbaarheid installeert en exploiteert in de ASRock-moederborddriver AsrDrv103.sys, gevolgd als CVE-2020-15368. De fout maakt de uitvoering van kwaadaardige code in de Windows-kernel mogelijk, waardoor zijwaartse verplaatsing in een IT- of OT-omgeving wordt vergemakkelijkt, evenals de verstoring van kritieke apparaten of functies.
Specifieke apparaten targeten
Acteurs hebben ook specifieke modules om de ander aan te vallen ICS-apparaten. De module voor Schneider Electric communiceert met de apparaten via normale beheerprotocollen en Modbus (TCP 502).
Met deze module kunnen actoren verschillende kwaadaardige acties uitvoeren, waaronder het uitvoeren van een snelle scan om alle Schneider PLC's op het lokale netwerk te identificeren; brute-forcing PLC-wachtwoorden; het uitvoeren van een denial-of-service (DoS)-aanval om te voorkomen dat de PLC netwerkcommunicatie ontvangt; of het uitvoeren van een "packet of death" -aanval om onder meer de PLC te laten crashen, volgens het advies.
Andere modules in de APT-tool zijn gericht op OMRON-apparaten en kunnen ze op het netwerk scannen en andere compromitterende functies uitvoeren, aldus de agentschappen.
Bovendien kunnen de OMRON-modules een agent uploaden waarmee een dreigingsactor verbinding kan maken en opdrachten kan starten, zoals bestandsmanipulatie, pakketcaptures en code-uitvoering, via HTTP en/of Hypertext Transfer Protocol Secure (HTTPS), volgens de waarschuwing.
Tot slot, een module die het compromitteren van OPC UA-apparaten mogelijk maakt, bevat basisfunctionaliteit om OPC UA-servers te identificeren en om verbinding te maken met een OPC UA-server met behulp van standaard of eerder gecompromitteerde inloggegevens, waarschuwden de bureaus.
Aanbevolen oplossingen
De agentschappen boden een uitgebreide lijst met oplossingen voor leveranciers van kritieke infrastructuur om te voorkomen dat hun systemen door de APT-tools in gevaar werden gebracht.
"Dit is niet zo eenvoudig als het aanbrengen van een patch," merkte Erwin van Tripwire op. Van de lijst noemde hij het isoleren van getroffen systemen; het gebruik van eindpuntdetectie, configuratie en integriteitsbewaking; en loganalyse als belangrijkste acties die organisaties onmiddellijk moeten ondernemen om hun systemen te beschermen.
De federale overheid heeft ook aanbevolen dat leveranciers van kritieke infrastructuur beschikken over een responsplan voor cyberincidenten dat alle belanghebbenden in IT, cyberbeveiliging en operaties kennen en indien nodig snel kunnen implementeren, en om geldige offline back-ups te behouden voor sneller herstel na een ontwrichtende aanval, naast andere mitigaties. .
Verhuizen naar de cloud? Ontdek opkomende cloudbeveiligingsbedreigingen samen met gedegen advies voor het verdedigen van uw bedrijfsmiddelen met onze GRATIS downloadbaar eBook, "Cloudbeveiliging: de voorspelling voor 2022." We onderzoeken de belangrijkste risico's en uitdagingen van organisaties, best practices voor defensie en advies voor succes op het gebied van beveiliging in zo'n dynamische computeromgeving, inclusief handige checklists.
- blockchain
- vindingrijk
- Kritische infrastructuur
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- website veiligheid
- zephyrnet
