Trusselaktører har utviklet tilpassede moduler for å kompromittere ulike ICS-enheter samt Windows-arbeidsstasjoner som utgjør en overhengende trussel, spesielt for energileverandører.
Trusselaktører har bygget og er klare til å distribuere verktøy som kan ta over en rekke mye brukte industrielle kontrollsystem (ICS)-enheter, noe som skaper problemer for kritiske infrastrukturleverandører – spesielt de i energisektoren, har føderale byråer advart.
In en felles rådgivning, Department of Energy (DoE), Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) og FBI advarer om at "visse avanserte vedvarende trussel (APT)-aktører" allerede har demonstrert evnen "til å oppnå full systemtilgang til flere industrielle kontrollsystemer (ICS)/tilsynskontroll og datainnsamlingsenheter (SCADA)», ifølge varselet.
De skreddersydde verktøyene utviklet av APT-ene lar dem – når de først har fått tilgang til det operasjonelle teknologinettverket (OT)-nettverket – skanne etter, kompromittere og kontrollere berørte enheter, ifølge byråene. Dette kan føre til en rekke ondsinnede handlinger, inkludert heving av privilegier, sidebevegelse i et OT-miljø og forstyrrelse av kritiske enheter eller funksjoner, sa de.
Enheter i fare er: Schneider Electric MODICON og MODICON Nano programmerbare logiske kontrollere (PLS), inkludert (men er kanskje ikke begrenset til) TM251, TM241, M258, M238, LMC058 og LMC078; OMRON Sysmac NEX PLSer; og Open Platform Communications Unified Architecture (OPC UA)-servere, sa byråene.
APT-ene kan også kompromittere Windows-baserte tekniske arbeidsstasjoner som finnes i IT- eller OT-miljøer ved å bruke en utnyttelse for en kjent sårbarhet i en ASRock hovedkort sjåfør, sa de.
Advarsel bør følges
Selv om føderale byråer ofte legger ut råd om cybertrusler, oppfordret en sikkerhetsekspert kritiske infrastrukturleverandører å ikke ta lett på denne advarselen.
"Gjør ingen feil, dette er et viktig varsel fra CISA," sa Tim Erlin, visepresident for strategi i Tripwire, i en e-post til Threatpost. "Industriorganisasjoner bør ta hensyn til denne trusselen."
Han bemerket at mens selve varselet fokuserer på verktøy for å få tilgang til spesifikke ICS-enheter, er det større bildet at hele det industrielle kontrollmiljøet er i fare når en trusselaktør får fotfeste.
"Angripere trenger et innledende kompromiss for å få tilgang til de involverte industrielle kontrollsystemene, og organisasjoner bør bygge forsvaret sitt deretter," sa Erlin.
Modulært verktøysett
Byråene ga en oversikt over de modulære verktøyene utviklet av APT-er som lar dem utføre "svært automatiserte utnyttelser mot målrettede enheter," sa de.
De beskrev verktøyene som å ha en virtuell konsoll med et kommandogrensesnitt som speiler grensesnittet til den målrettede ICS/SCADA-enheten. Moduler samhandler med målrettede enheter, og gir selv lavere kvalifiserte trusselaktører muligheten til å etterligne høyere kvalifiserte evner, advarte byråene.
Handlinger APT-ene kan utføre ved å bruke modulene inkluderer: skanning etter målrettede enheter, gjennomføring av rekognosering av enhetsdetaljer, opplasting av ondsinnet konfigurasjon/kode til målenheten, sikkerhetskopiering eller gjenoppretting av enhetsinnhold og endring av enhetsparametere.
I tillegg kan APT-aktørene bruke et verktøy som installerer og utnytter en sårbarhet i ASRock-hovedkortdriveren AsrDrv103.sys sporet som CVE-2020-15368. Feilen tillater utføring av ondsinnet kode i Windows-kjernen, noe som letter sideveis bevegelse av et IT- eller OT-miljø samt forstyrrelse av kritiske enheter eller funksjoner.
Målretting mot spesifikke enheter
Skuespillere har også en spesifikk moduler for å angripe den andre ICS-enheter. Modulen for Schneider Electric samhandler med enhetene via vanlige administrasjonsprotokoller og Modbus (TCP 502).
Denne modulen kan tillate aktører å utføre ulike ondsinnede handlinger, inkludert å kjøre en rask skanning for å identifisere alle Schneider PLSer på det lokale nettverket; brute-forcing PLC passord; å gjennomføre et tjenestenektangrep (DoS) for å blokkere PLS-en fra å motta nettverkskommunikasjon; eller gjennomføre et "packet of death"-angrep for å krasje PLC, blant annet, ifølge rådgiveren.
Andre moduler i APT-verktøyet retter seg mot OMRON-enheter og kan skanne etter dem på nettverket samt utføre andre kompromitterende funksjoner, sa byråene.
I tillegg kan OMRON-modulene laste opp en agent som lar en trusselaktør koble til og initiere kommandoer – som filmanipulering, pakkefangst og kodekjøring – via HTTP og/eller Hypertext Transfer Protocol Secure (HTTPS), ifølge varselet.
Til slutt, en modul som tillater kompromittering av OPC UA-enheter inkluderer grunnleggende funksjonalitet for å identifisere OPC UA-servere og koble til en OPC UA-server ved å bruke standard eller tidligere kompromittert legitimasjon, advarte byråene.
Anbefalte avbøtende tiltak
Byråene tilbød en omfattende liste over avbøtende tiltak for leverandører av kritisk infrastruktur for å unngå kompromittering av systemene deres med APT-verktøyene.
"Dette er ikke så enkelt som å bruke en lapp," bemerket Tripwires Erwin. På listen siterte han å isolere berørte systemer; bruke endepunktdeteksjon, konfigurasjon og integritetsovervåking; og logganalyse som nøkkelhandlinger organisasjoner bør ta umiddelbart for å beskytte systemene sine.
Feds anbefalte også at leverandører av kritisk infrastruktur har en responsplan for cyberhendelser som alle interessenter innen IT, cybersikkerhet og drift kjenner til og kan implementere raskt om nødvendig, samt opprettholde gyldige offline sikkerhetskopier for raskere gjenoppretting ved et forstyrrende angrep, blant annet. .
Flytte til skyen? Oppdag nye trusler mot skysikkerhet sammen med solide råd for hvordan du kan forsvare eiendelene dine med vår GRATIS nedlastbar eBok, "Cloud Security: The Forecast for 2022." Vi utforsker organisasjoners største risikoer og utfordringer, beste praksis for forsvar og råd for sikkerhetssuksess i et slikt dynamisk datamiljø, inkludert nyttige sjekklister.
