Federalci: APT-ji imajo orodja, ki lahko prevzamejo kritično infrastrukturo

Akterji groženj so zgradili in so pripravljeni na uvedbo orodij, ki lahko prevzamejo številne široko uporabljene naprave industrijskega nadzornega sistema (ICS), kar povzroča težave ponudnikom kritične infrastrukture – zlasti tistim v energetskem sektorju, so opozorile zvezne agencije.

In skupno svetovanje, Ministrstvo za energijo (DoE), Agencija za kibernetsko varnost in varnost infrastrukture (CISA), Agencija za nacionalno varnost (NSA) in FBI opozarjajo, da so »nekateri akterji napredne trajne grožnje (APT)« že dokazali sposobnost »pridobiti popolno sistemski dostop do več industrijskih nadzornih sistemov (ICS)/naprav za nadzorni nadzor in pridobivanje podatkov (SCADA),« je navedeno v opozorilu.

Po navedbah agencij prilagojena orodja, ki so jih razvili APT-ji, jim omogočajo – ko pridobijo dostop do omrežja operativne tehnologije (OT) – skeniranje, ogrožanje in nadzor prizadetih naprav. To lahko vodi do številnih nečednih dejanj, vključno z zvišanjem privilegijev, stranskim premikanjem znotraj okolja OT in motnjami kritičnih naprav ali funkcij, so povedali.

Tvegane naprave so: programabilni logični krmilniki (PLC) Schneider Electric MODICON in MODICON Nano, vključno (vendar ne omejeno na) TM251, TM241, M258, M238, LMC058 in LMC078; PLC-ji OMRON Sysmac NEX; in strežniki Open Platform Communications Unified Architecture (OPC UA), so sporočile agencije.

APT-ji lahko ogrozijo tudi inženirske delovne postaje s sistemom Windows, ki so prisotne v okoljih IT ali OT, z uporabo izkoriščanja znane ranljivosti v ASRocku motherboard voznik, so rekli.

Opozorilo je treba upoštevati

Čeprav zvezne agencije pogosto objavljajo nasvete o kibernetskih grožnjah, je en strokovnjak za varnost pozval ponudniki kritične infrastrukture tega posebnega opozorila ne jemljite zlahka.

»Da ne bo pomote, to je pomembno opozorilo CISA,« je v elektronskem sporočilu Threatpostu opazil Tim Erlin, podpredsednik strategije pri Tripwire. "Industrijske organizacije bi morale biti pozorne na to grožnjo."

Opozoril je, da medtem ko se samo opozorilo osredotoča na orodja za pridobitev dostopa do določenih naprav ICS, je širša slika ta, da je celotno industrijsko nadzorno okolje ogroženo, ko grožnja pridobi oporo.

»Napadalci potrebujejo začetno točko kompromisa, da pridobijo dostop do vpletenih industrijskih nadzornih sistemov, organizacije pa bi morale ustrezno zgraditi svojo obrambo,« je svetoval Erlin.

Modularni komplet orodij

Agencije so zagotovile razčlenitev modularnih orodij, ki so jih razvili APT-ji in ki jim omogočajo izvajanje "visoko avtomatiziranih napadov na ciljne naprave", so povedali.

Orodja so opisali kot navidezno konzolo z ukaznim vmesnikom, ki zrcali vmesnik ciljne naprave ICS/SCADA. Moduli medsebojno delujejo s ciljnimi napravami, kar celo nižje kvalificiranim akterjem groženj omogoča, da posnemajo visokokvalificirane zmogljivosti, so opozorile agencije.

Dejanja, ki jih APT-ji lahko izvedejo z uporabo modulov, vključujejo: skeniranje ciljnih naprav, izvajanje izvida o podrobnostih naprave, nalaganje zlonamerne konfiguracije/kode v ciljno napravo, varnostno kopiranje ali obnavljanje vsebine naprave in spreminjanje parametrov naprave.

Poleg tega lahko akterji APT uporabijo orodje, ki namesti in izkoristi ranljivost v gonilniku matične plošče ASRock AsrDrv103.sys, ki se spremlja kot CVE-2020-15368. Napaka omogoča izvajanje zlonamerne kode v jedru Windows, kar olajša bočno premikanje IT ali OT okolja ter motnje kritičnih naprav ali funkcij.

Ciljanje na določene naprave

Akterji imajo tudi posebne module za napad na drugega naprave ICS. Modul za Schneider Electric komunicira z napravami prek običajnih protokolov upravljanja in Modbus (TCP 502).

Ta modul lahko akterjem omogoči izvajanje različnih zlonamernih dejanj, vključno s hitrim skeniranjem za identifikacijo vseh PLC-jev Schneider v lokalnem omrežju; gesla PLC-ja za brutalno vsiljevanje; izvajanje napada zavrnitve storitve (DoS), da PLC-ju prepreči sprejemanje omrežnih komunikacij; ali izvajanje napada »packet of death«, da se med drugim zruši PLC, glede na svetovanje.

Drugi moduli v orodju APT ciljajo na naprave OMRON in jih lahko iščejo v omrežju ter izvajajo druge ogrožajoče funkcije, so sporočile agencije.

Poleg tega lahko moduli OMRON naložijo agenta, ki akterju grožnje omogoča povezavo in sprožitev ukazov – kot so manipulacija datotek, zajem paketov in izvajanje kode – prek HTTP in/ali Hypertext Transfer Protocol Secure (HTTPS), v skladu z opozorilom.

Nazadnje, modul, ki omogoča ogrožanje naprav OPC UA, vključuje osnovno funkcionalnost za prepoznavanje strežnikov OPC UA in povezovanje s strežnikom OPC UA z uporabo privzetih ali predhodno ogroženih poverilnic, so opozorile agencije.

Priporočene ublažitve

Agencije so ponudile obsežen seznam ublažitev za ponudnike kritične infrastrukture, da bi se izognili ogrožanju njihovih sistemov z orodji APT.

"To ni tako preprosto kot uporaba popravka," je opozoril Erwin iz Tripwire. Na seznamu je navedel izolacijo prizadetih sistemov; uporabo zaznavanja končne točke, konfiguracije in nadzora celovitosti; in analiza dnevnikov kot ključni ukrepi, ki bi jih morale organizacije sprejeti takoj za zaščito svojih sistemov.

Zvezni organi so tudi priporočili, da imajo ponudniki kritične infrastrukture načrt odzivanja na kibernetske incidente, ki ga poznajo vse zainteresirane strani v IT, kibernetski varnosti in operacijah in ga lahko po potrebi hitro implementirajo, ter da vzdržujejo veljavne varnostne kopije brez povezave za hitrejšo obnovitev po motečem napadu, med drugimi ublažitvami. .

Selitev v oblak? Odkrijte nastajajoče grožnje varnosti v oblaku skupaj s trdnimi nasveti, kako zaščititi svoja sredstva z našimi BREZPLAČNO prenosljiva e-knjiga, “Varnost v oblaku: Napoved za leto 2022.” Raziskujemo največja tveganja in izzive organizacij, najboljše prakse za obrambo in nasvete za varnostni uspeh v tako dinamičnem računalniškem okolju, vključno s priročnimi kontrolnimi seznami.