Злоумышленники разработали специальные модули для компрометации различных устройств ICS, а также рабочих станций Windows, которые представляют непосредственную угрозу, особенно для поставщиков электроэнергии.
Злоумышленники создали и готовы развернуть инструменты, которые могут взять на себя ряд широко используемых устройств промышленной системы управления (ICS), что создает проблемы для поставщиков критической инфраструктуры, особенно в энергетическом секторе, предупреждают федеральные агентства.
In совместное консультирование, Министерство энергетики (DoE), Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Агентство национальной безопасности (АНБ) и ФБР предупреждают, что «некоторые субъекты продвинутой постоянной угрозы (APT)» уже продемонстрировали способность «получить полную системный доступ к нескольким системам промышленного управления (ICS) / диспетчерскому управлению и устройствам сбора данных (SCADA)», — говорится в предупреждении.
По данным агентств, специализированные инструменты, разработанные APT, позволяют им после получения доступа к сети операционных технологий (OT) сканировать, компрометировать и контролировать уязвимые устройства. По их словам, это может привести к ряду гнусных действий, включая повышение привилегий, горизонтальное перемещение в среде OT и нарушение работы критически важных устройств или функций.
Под угрозой находятся следующие устройства: Программируемые логические контроллеры (ПЛК) MODICON и MODICON Nano компании Schneider Electric, включая (но не ограничиваясь ими) TM251, TM241, M258, M238, LMC058 и LMC078; ПЛК OMRON Sysmac NEX; и серверы унифицированной архитектуры Open Platform Communications (OPC UA), сообщили агентства.
APT также могут скомпрометировать инженерные рабочие станции на базе Windows, которые присутствуют в средах ИТ или ОТ, используя эксплойт для известной уязвимости в ASRock. материнская плата водитель, говорят.
Предупреждение следует принять во внимание
Хотя федеральные агентства часто выпускают рекомендации по киберугрозам, один специалист по безопасности призвал поставщики критической инфраструктуры не относиться легкомысленно к этому конкретному предупреждению.
«Не заблуждайтесь, это важное предупреждение от CISA», — заметил Тим Эрлин, вице-президент по стратегии Tripwire, в электронном письме Threatpost. «Промышленные организации должны обратить внимание на эту угрозу».
Он отметил, что, хотя само предупреждение сосредоточено на инструментах для получения доступа к конкретным устройствам АСУ ТП, более широкая картина заключается в том, что вся среда промышленного контроля подвергается риску, как только субъект угрозы закрепится.
«Злоумышленникам нужна начальная точка компрометации, чтобы получить доступ к задействованным промышленным системам управления, и организации должны соответствующим образом строить свою защиту», — посоветовал Эрлин.
Модульный набор инструментов
По их словам, агентства предоставили разбивку модульных инструментов, разработанных APT, которые позволяют им проводить «высокоавтоматизированные эксплойты против целевых устройств».
Они описали инструменты как имеющие виртуальную консоль с командным интерфейсом, который отражает интерфейс целевого устройства ICS/SCADA. Агентства предупредили, что модули взаимодействуют с целевыми устройствами, давая даже менее квалифицированным злоумышленникам возможность эмулировать возможности более квалифицированных.
Действия, которые APT могут выполнять с помощью модулей, включают: сканирование целевых устройств, проведение разведки сведений об устройстве, загрузку вредоносной конфигурации/кода на целевое устройство, резервное копирование или восстановление содержимого устройства и изменение параметров устройства.
Кроме того, участники APT могут использовать инструмент, который устанавливает и использует уязвимость в драйвере материнской платы ASRock AsrDrv103.sys, отслеживаемую как CVE-2020-15368. Уязвимость позволяет выполнять вредоносный код в ядре Windows, облегчая горизонтальное перемещение в ИТ- или ОТ-среде, а также прерывая работу критически важных устройств или функций.
Ориентация на определенные устройства
Актеры также имеют специальные модули для атаки на других. ICS-устройства. Модуль для Schneider Electric взаимодействует с устройствами по обычным протоколам управления и Modbus (TCP 502).
Этот модуль может позволить субъектам выполнять различные вредоносные действия, включая запуск быстрого сканирования для идентификации всех ПЛК Schneider в локальной сети; перебор паролей ПЛК; проведение атаки типа "отказ в обслуживании" (DoS) для блокировки PLC от получения сетевых сообщений; или проведение атаки «пакета смерти», чтобы, среди прочего, вывести из строя ПЛК, согласно бюллетеню.
Агентства заявили, что другие модули в инструменте APT нацелены на устройства OMRON и могут сканировать их в сети, а также выполнять другие компрометирующие функции.
Кроме того, согласно предупреждению, модули OMRON могут загружать агент, который позволяет субъекту угрозы подключаться и инициировать команды, такие как манипулирование файлами, захват пакетов и выполнение кода, через HTTP и/или защищенный протокол передачи гипертекста (HTTPS).
Наконец, модуль, который позволяет компрометировать устройства OPC UA, включает базовые функции для идентификации серверов OPC UA и подключения к серверу OPC UA с использованием стандартных или ранее скомпрометированных учетных данных, предупреждают агентства.
Рекомендуемые меры
Агентства предложили поставщикам критической инфраструктуры обширный список мер по смягчению последствий, чтобы избежать компрометации их систем инструментами APT.
«Это не так просто, как применить патч», — отметил Эрвин из Tripwire. Из списка он упомянул изоляцию затронутых систем; использование обнаружения конечных точек, конфигурации и мониторинга целостности; и анализ журналов как ключевые действия, которые организации должны предпринять немедленно для защиты своих систем.
Федералы также рекомендовали поставщикам критически важной инфраструктуры иметь план реагирования на кибер-инциденты, который знают все заинтересованные стороны в области ИТ, кибербезопасности и эксплуатации и могут быстро реализовать, если это необходимо, а также поддерживать действительные автономные резервные копии для более быстрого восстановления после разрушительной атаки, среди других мер по смягчению последствий. .
Переходите в облако? Узнайте о новых угрозах облачной безопасности, а также получите полезные советы о том, как защитить свои активы с помощью нашего БЕСПЛАТНАЯ загружаемая электронная книга, «Облачная безопасность: прогноз на 2022 год». Мы изучаем основные риски и проблемы организаций, передовые методы защиты и советы по обеспечению безопасности в такой динамичной вычислительной среде, включая удобные контрольные списки.
- блокчейн
- Coingenius
- Критическая инфраструктура
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
- зефирнет
