Podmioty działające w obszarze zagrożenia opracowali niestandardowe moduły, które umożliwiają złamanie zabezpieczeń różnych urządzeń ICS, a także stacji roboczych z systemem Windows, które stanowią bezpośrednie zagrożenie, zwłaszcza dla dostawców energii.
Podmioty zajmujące się zagrożeniami zbudowały i są gotowe do wdrożenia narzędzi, które mogą przejąć wiele powszechnie używanych urządzeń przemysłowych systemów sterowania (ICS), co oznacza kłopoty dla dostawców infrastruktury krytycznej — zwłaszcza w sektorze energetycznym, ostrzegają agencje federalne.
In wspólne doradztwo, Departament Energii (DoE), Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Agencja Bezpieczeństwa Narodowego (NSA) i FBI ostrzegają, że „niektórzy aktorzy zaawansowanego trwałego zagrożenia (APT)” wykazali już zdolność „do uzyskania pełnego dostęp systemowy do wielu urządzeń przemysłowych systemów sterowania (ICS)/nadzorczych urządzeń sterujących i akwizycji danych (SCADA)”, zgodnie z ostrzeżeniem.
Według agencji, niestandardowe narzędzia opracowane przez APT umożliwiają im – po uzyskaniu dostępu do sieci technologii operacyjnej (OT) – skanowanie w poszukiwaniu urządzeń, których dotyczy problem, i kontrolowanie ich. Może to prowadzić do wielu nikczemnych działań, w tym podniesienia uprawnień, ruchu bocznego w środowisku OT i zakłócenia krytycznych urządzeń lub funkcji, powiedzieli.
Zagrożone urządzenia to: Programowalne sterowniki logiczne (PLC) Schneider Electric MODICON i MODICON Nano, w tym (ale nie tylko) TM251, TM241, M258, M238, LMC058 i LMC078; sterowniki PLC OMRON Sysmac NEX; oraz serwery Open Platform Communications Unified Architecture (OPC UA), podały agencje.
APT mogą również złamać zabezpieczenia stacji roboczych opartych na systemie Windows, które są obecne w środowiskach IT lub OT, wykorzystując exploita dla znanej luki w ASRock płyta główna kierowca, powiedzieli.
Należy wziąć pod uwagę ostrzeżenie
Chociaż agencje federalne często publikują porady dotyczące cyberzagrożeń, jeden z specjalistów ds. bezpieczeństwa nalegał dostawcy infrastruktury krytycznej nie lekceważ tego ostrzeżenia.
„Nie popełnij błędu, to ważny alert od CISA” — zauważył Tim Erlin, wiceprezes ds. strategii w Tripwire, w e-mailu wysłanym do Threatpost. „Organizacje przemysłowe powinny zwracać uwagę na to zagrożenie”.
Zauważył, że chociaż sam alert koncentruje się na narzędziach umożliwiających uzyskanie dostępu do określonych urządzeń ICS, szerszy obraz jest taki, że całe środowisko sterowania przemysłowego jest zagrożone, gdy podmiot zagrażający zdobędzie przyczółek.
„Atakujący potrzebują początkowego punktu kompromisu, aby uzyskać dostęp do zaangażowanych przemysłowych systemów kontroli, a organizacje powinny odpowiednio budować swoje zabezpieczenia” – poradził Erlin.
Modułowy zestaw narzędzi
Agencje dostarczyły zestawienie modułowych narzędzi opracowanych przez APT, które pozwalają im na przeprowadzanie „wysoce zautomatyzowanych exploitów przeciwko docelowym urządzeniom” – powiedzieli.
Opisali narzędzia jako posiadające konsolę wirtualną z interfejsem poleceń, który odzwierciedla interfejs docelowego urządzenia ICS/SCADA. Agencje ostrzegły, że moduły wchodzą w interakcję z docelowymi urządzeniami, dając nawet mniej wykwalifikowanym cyberprzestępcom możliwość emulowania zdolności o wyższych umiejętnościach.
Działania, które APT mogą wykonywać za pomocą modułów, obejmują: skanowanie w poszukiwaniu docelowych urządzeń, przeprowadzanie rozpoznania szczegółów urządzenia, przesyłanie złośliwej konfiguracji/kodu na docelowe urządzenie, tworzenie kopii zapasowych lub przywracanie zawartości urządzenia oraz modyfikowanie parametrów urządzenia.
Ponadto aktorzy APT mogą użyć narzędzia, które instaluje i wykorzystuje lukę w sterowniku płyty głównej ASRock AsrDrv103.sys śledzoną jako CVE-2020-15368. Luka pozwala na wykonanie złośliwego kodu w jądrze Windows, ułatwiając boczne przemieszczanie się w środowisku IT lub OT, a także zakłócanie krytycznych urządzeń lub funkcji.
Kierowanie na określone urządzenia
Aktorzy mają też określone moduły do atakowania innych Urządzenia ICS. Moduł dla Schneider Electric współpracuje z urządzeniami za pośrednictwem normalnych protokołów zarządzania i Modbus (TCP 502).
Moduł ten może umożliwiać aktorom wykonywanie różnych złośliwych działań, w tym uruchamianie szybkiego skanowania w celu zidentyfikowania wszystkich sterowników PLC Schneider w sieci lokalnej; hasła PLC wymuszające brute; przeprowadzanie ataku typu „odmowa usługi” (DoS) w celu zablokowania PLC przed otrzymywaniem komunikacji sieciowej; lub przeprowadzenie ataku „pakietu śmierci” w celu rozbicia PLC m.in., zgodnie z zaleceniem.
Inne moduły w narzędziu APT atakują urządzenia OMRON i mogą wyszukiwać je w sieci, a także wykonywać inne kompromitujące funkcje, podały agencje.
Ponadto moduły OMRON mogą przesłać agenta, który umożliwia podmiotowi zajmującemu się zagrożeniem łączenie się i inicjowanie poleceń — takich jak manipulacja plikami, przechwytywanie pakietów i wykonywanie kodu — za pośrednictwem protokołu HTTP i/lub Hypertext Transfer Protocol Secure (HTTPS), zgodnie z alertem.
Wreszcie, moduł, który pozwala na włamanie się do urządzeń OPC UA, zawiera podstawową funkcjonalność identyfikacji serwerów OPC UA i łączenia się z serwerem OPC UA przy użyciu domyślnych lub wcześniej złamanych danych uwierzytelniających, ostrzegają agencje.
Zalecane środki łagodzące
Agencje oferowały obszerną listę środków łagodzących dla dostawców infrastruktury krytycznej, aby uniknąć narażenia ich systemów przez narzędzia APT.
„To nie jest tak proste, jak nałożenie łaty”, zauważył Erwin z Tripwire. Z listy zacytował izolowanie dotkniętych systemów; wykorzystanie wykrywania punktów końcowych, konfiguracji i monitorowania integralności; oraz analiza logów jako kluczowe działania, które organizacje powinny podjąć natychmiast, aby chronić swoje systemy.
Federalni zalecili również, aby dostawcy infrastruktury krytycznej mieli plan reagowania na incydenty cybernetyczne, który wszyscy interesariusze z branży IT, cyberbezpieczeństwa i operacji znają i mogą szybko wdrożyć w razie potrzeby, a także utrzymywali prawidłowe kopie zapasowe offline w celu szybszego odzyskiwania po zakłócającym ataku, a także inne środki zaradcze .
Przenosisz się do chmury? Odkryj pojawiające się zagrożenia bezpieczeństwa w chmurze wraz z solidnymi poradami, jak chronić swoje zasoby za pomocą naszego DARMOWY e-book do pobrania, „Bezpieczeństwo chmury: prognoza na 2022 r.” Badamy najważniejsze zagrożenia i wyzwania organizacji, najlepsze praktyki w zakresie obrony oraz porady dotyczące sukcesu w zakresie bezpieczeństwa w tak dynamicznym środowisku komputerowym, w tym przydatne listy kontrolne.
- blockchain
- pomysłowość
- Infrastruktura krytyczna
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
- zefirnet
