Hotaktörer har utvecklat anpassade moduler för att äventyra olika ICS-enheter samt Windows-arbetsstationer som utgör ett överhängande hot, särskilt mot energileverantörer.
Hotaktörer har byggt och är redo att distribuera verktyg som kan ta över ett antal allmänt använda industriella kontrollsystem (ICS)-enheter, vilket innebär problem för kritiska infrastrukturleverantörer – särskilt de inom energisektorn, har federala myndigheter varnat.
In en gemensam rådgivning, Department of Energy (DoE), Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) och FBI varnar för att "vissa avancerade persistent hot-aktörer (APT)" redan har visat förmågan "att få full systemåtkomst till flera industriella kontrollsystem (ICS)/övervakningskontroll och datainsamling (SCADA)-enheter", enligt varningen.
De skräddarsydda verktygen som utvecklats av APT:erna tillåter dem – när de väl har fått tillgång till det operativa tekniknätverket (OT)-nätverket – att söka efter, kompromissa och kontrollera berörda enheter, enligt byråerna. Detta kan leda till ett antal otrevliga handlingar, inklusive höjning av privilegier, lateral rörelse inom en OT-miljö och störning av kritiska enheter eller funktioner, sa de.
Enheter i riskzonen är: Schneider Electric MODICON och MODICON Nano programmerbara logiska styrenheter (PLC), inklusive (men kanske inte är begränsade till) TM251, TM241, M258, M238, LMC058 och LMC078; OMRON Sysmac NEX PLC:er; och Open Platform Communications Unified Architecture (OPC UA)-servrar, sa byråerna.
APT:erna kan också äventyra Windows-baserade tekniska arbetsstationer som finns i IT- eller OT-miljöer genom att använda en exploatering för en känd sårbarhet i en ASRock moderkort chaufför, sa de.
Varning bör beaktas
Även om federala myndigheter ofta lägger ut råd om cyberhot, uppmanade en säkerhetsspecialist leverantörer av kritisk infrastruktur att inte ta lätt på denna varning.
"Gör inga misstag, det här är en viktig varning från CISA", konstaterade Tim Erlin, vice vd för strategi på Tripwire, i ett mejl till Threatpost. "Industriorganisationer bör uppmärksamma detta hot."
Han noterade att även om varningen i sig fokuserar på verktyg för att få tillgång till specifika ICS-enheter, är den större bilden att hela den industriella kontrollmiljön är i riskzonen när en hotaktör får fotfäste.
"Angripare behöver en första kompromisspunkt för att få tillgång till de industriella kontrollsystemen som är involverade, och organisationer bör bygga sina försvar i enlighet med detta," rådde Erlin.
Modulär verktygssats
Byråerna tillhandahöll en uppdelning av de modulära verktyg som utvecklats av APT:er som gör det möjligt för dem att utföra "högt automatiserade utnyttjande av riktade enheter", sa de.
De beskrev verktygen som att de har en virtuell konsol med ett kommandogränssnitt som speglar gränssnittet för den riktade ICS/SCADA-enheten. Moduler interagerar med riktade enheter, vilket ger även mindre kvalificerade hotaktörer möjligheten att efterlikna högre kvalificerad kapacitet, varnade byråerna.
Åtgärder som APT:erna kan vidta med hjälp av modulerna inkluderar: skanna efter riktade enheter, utföra spaning på enhetsdetaljer, ladda upp skadlig konfiguration/kod till den riktade enheten, säkerhetskopiera eller återställa enhetsinnehåll och modifiera enhetsparametrar.
Dessutom kan APT-aktörerna använda ett verktyg som installerar och utnyttjar en sårbarhet i ASRocks moderkortsdrivrutin AsrDrv103.sys spåras som CVE-2020-15368. Felet möjliggör exekvering av skadlig kod i Windows-kärnan, vilket underlättar laterala rörelser i en IT- eller OT-miljö samt störningar av kritiska enheter eller funktioner.
Inriktning på specifika enheter
Skådespelare har också en specifik moduler för att attackera den andra ICS-enheter. Modulen för Schneider Electric interagerar med enheterna via vanliga hanteringsprotokoll och Modbus (TCP 502).
Denna modul kan tillåta aktörer att utföra olika skadliga åtgärder, inklusive att köra en snabb skanning för att identifiera alla Schneider PLC:er på det lokala nätverket; brute-forcing PLC-lösenord; samutförande av en denial-of-service (DoS)-attack för att blockera PLC:n från att ta emot nätverkskommunikation; eller genomföra en "packet of death"-attack för att krascha PLC, bland annat, enligt rådgivandet.
Andra moduler i APT-verktyget riktar sig till OMRON-enheter och kan skanna efter dem på nätverket samt utföra andra kompromitterande funktioner, sa byråerna.
Dessutom kan OMRON-modulerna ladda upp en agent som tillåter en hotaktör att ansluta och initiera kommandon – såsom filmanipulation, paketfångningar och kodexekvering – via HTTP och/eller Hypertext Transfer Protocol Secure (HTTPS), enligt varningen.
Slutligen, en modul som möjliggör kompromettering av OPC UA-enheter inkluderar grundläggande funktionalitet för att identifiera OPC UA-servrar och för att ansluta till en OPC UA-server med hjälp av standard- eller tidigare komprometterade referenser, varnade byråerna.
Rekommenderade begränsningar
Byråerna erbjöd en omfattande lista över begränsningar för leverantörer av kritisk infrastruktur för att undvika att deras system kompromissar med APT-verktygen.
"Det här är inte så enkelt som att applicera en lapp," noterade Tripwires Erwin. Av listan citerade han att isolera drabbade system; använder slutpunktsdetektering, konfiguration och integritetsövervakning; och logganalys som nyckelåtgärder som organisationer bör vidta omedelbart för att skydda sina system.
Feds rekommenderade också att leverantörer av kritisk infrastruktur har en responsplan för cyberincidenter som alla intressenter inom IT, cybersäkerhet och drift känner till och kan implementera snabbt vid behov, samt upprätthålla giltiga offline backuper för snabbare återställning vid en störande attack, bland andra begränsningar .
Flytta till molnet? Upptäck nya hot mot molnsäkerhet tillsammans med solida råd om hur du försvarar dina tillgångar med vår GRATIS nedladdningsbar e-bok, "Cloud Security: The Forecast for 2022." Vi utforskar organisationers största risker och utmaningar, bästa praxis för försvar och råd för säkerhetsframgång i en sådan dynamisk datormiljö, inklusive praktiska checklistor.
