Tehdit aktörleri, çeşitli ICS cihazlarının yanı sıra, özellikle enerji sağlayıcıları için yakın bir tehdit oluşturan Windows iş istasyonlarını tehlikeye atmak için özel modüller geliştirdi.
Federal kurumlar, tehdit aktörlerinin yaygın olarak kullanılan bir dizi endüstriyel kontrol sistemi (ICS) cihazını devralabilecek araçlar inşa ettiğini ve bunları dağıtmaya hazır olduğunu, bunun da kritik altyapı sağlayıcıları (özellikle enerji sektöründekiler) için sorun anlamına geldiği konusunda uyardı.
In ortak bir tavsiyeEnerji Bakanlığı (DoE), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve FBI, "bazı ileri düzey kalıcı tehdit (APT) aktörlerinin" halihazırda "tam güç elde etme" yeteneğini gösterdikleri konusunda uyarıyor. Uyarıya göre, çoklu endüstriyel kontrol sistemi (ICS)/denetleyici kontrol ve veri toplama (SCADA) cihazlarına sistem erişimi.
Ajanslara göre, APT'ler tarafından geliştirilen özel yapım araçlar, operasyonel teknoloji (OT) ağına erişim sağladıklarında etkilenen cihazları taramalarına, tehlikeye atmalarına ve kontrol etmelerine olanak tanıyor. Bunun, ayrıcalıkların yükseltilmesi, OT ortamında yanal hareket ve kritik cihazların veya işlevlerin kesintiye uğraması da dahil olmak üzere bir dizi hain eyleme yol açabileceğini söylediler.
Risk altındaki cihazlar şunlardır: TM251, TM241, M258, M238, LMC058 ve LMC078 dahil (ancak bunlarla sınırlı olmayabilir) Schneider Electric MODICON ve MODICON Nano programlanabilir mantık denetleyicileri (PLC'ler); OMRON Sysmac NEX PLC'leri; Ajanslar, Açık Platform İletişimi Birleşik Mimari (OPC UA) sunucularının da bulunduğunu söyledi.
APT'ler ayrıca ASRock'taki bilinen bir güvenlik açığından yararlanarak BT veya OT ortamlarında bulunan Windows tabanlı mühendislik iş istasyonlarını tehlikeye atabilir. anakart şoför dediler.
Uyarılara Dikkat Edilmeli
Her ne kadar federal kurumlar sıklıkla siber tehditlere ilişkin tavsiyelerde bulunsa da bir güvenlik uzmanı şunu ısrarla vurguladı: kritik altyapı sağlayıcıları Bu özel uyarıyı hafife almamak gerekir.
Tripwire'ın stratejiden sorumlu başkan yardımcısı Tim Erlin, Threatpost'a gönderdiği bir e-postada, "Yanlış anlaşılmasın, bu CISA'dan önemli bir uyarıdır" dedi. “Sanayi kuruluşlarının bu tehdide dikkat etmesi gerekiyor.”
Uyarının belirli ICS cihazlarına erişim sağlamaya yönelik araçlara odaklandığını ancak daha büyük resmin, bir tehdit aktörünün tutunma noktası elde etmesi durumunda tüm endüstriyel kontrol ortamının risk altında olduğunu belirtti.
Erlin, "Saldırganların endüstriyel kontrol sistemlerine erişim sağlamak için bir başlangıç noktasına ihtiyaçları var ve kuruluşların savunmalarını buna göre oluşturması gerekiyor" tavsiyesinde bulundu.
Modüler Araç Seti
Ajanslar, APT'ler tarafından geliştirilen ve "hedeflenen cihazlara karşı yüksek düzeyde otomatikleştirilmiş saldırılar" gerçekleştirmelerine olanak tanıyan modüler araçların bir dökümünü sağladıklarını söyledi.
Araçları, hedeflenen ICS/SCADA cihazının arayüzünü yansıtan bir komut arayüzüne sahip sanal bir konsola sahip olarak tanımladılar. Ajanslar, modüllerin hedeflenen cihazlarla etkileşime girerek daha düşük vasıflı tehdit aktörlerine bile daha yüksek vasıflı yetenekleri taklit etme yeteneği kazandırdığı konusunda uyardı.
APT'lerin modülleri kullanarak gerçekleştirebileceği eylemler şunları içerir: hedeflenen cihazları taramak, cihaz ayrıntıları üzerinde keşif yapmak, hedeflenen cihaza kötü amaçlı konfigürasyon/kod yüklemek, cihaz içeriklerini yedeklemek veya geri yüklemek ve cihaz parametrelerini değiştirmek.
Ayrıca APT aktörleri, ASRock anakart sürücüsü AsrDrv103.sys'deki bir güvenlik açığını yükleyen ve bu güvenlik açığından yararlanan bir araç kullanabilir. CVE-2020-15368. Kusur, Windows çekirdeğinde kötü amaçlı kod yürütülmesine olanak tanıyor, BT veya OT ortamında yanal hareketi kolaylaştırmanın yanı sıra kritik cihazların veya işlevlerin kesintiye uğramasına da olanak tanıyor.
Belirli Cihazları Hedefleme
Aktörlerin ayrıca birbirlerine saldırmak için belirli modülleri vardır. ICS cihazları. Schneider Electric modülü, cihazlarla normal yönetim protokolleri ve Modbus (TCP 502) aracılığıyla etkileşime girer.
Bu modül, aktörlerin, yerel ağdaki tüm Schneider PLC'lerini tanımlamak için hızlı bir tarama yürütmek; kaba kuvvet PLC şifreleri; PLC'nin ağ iletişimlerini almasını engellemek için bir hizmet reddi (DoS) saldırısının gerçekleştirilmesi; Danışmana göre diğerlerinin yanı sıra PLC'yi çökertmek için bir "ölüm paketi" saldırısı düzenlemek.
Ajanslar, APT aracındaki diğer modüllerin OMRON cihazlarını hedef aldığını ve bunları ağ üzerinde tarayabildiğini ve diğer riskli işlevleri gerçekleştirebildiğini söyledi.
Uyarıya göre, OMRON modülleri ayrıca bir tehdit aktörünün HTTP ve/veya Güvenli Köprü Metni Aktarım Protokolü (HTTPS) aracılığıyla dosya işleme, paket yakalama ve kod yürütme gibi komutlara bağlanmasına ve komutları başlatmasına olanak tanıyan bir aracıyı yükleyebilir.
Son olarak, kurumlar, OPC UA cihazlarının ele geçirilmesine izin veren bir modülün, OPC UA sunucularını tanımlamaya ve varsayılan veya önceden güvenliği ihlal edilmiş kimlik bilgilerini kullanarak bir OPC UA sunucusuna bağlanmaya yönelik temel işlevleri içerdiği konusunda uyardı.
Önerilen Azaltmalar
Kurumlar, sistemlerinin APT araçları tarafından tehlikeye atılmasını önlemek amacıyla kritik altyapı sağlayıcılarına kapsamlı bir azaltım listesi sundu.
Tripwire'dan Erwin, "Bu, yama uygulamak kadar basit değil" dedi. Listeden etkilenen sistemlerin izole edilmesinden bahsetti; uç nokta tespiti, konfigürasyon ve bütünlük izlemenin kullanılması; ve log analizi, kuruluşların sistemlerini korumak için derhal gerçekleştirmesi gereken temel eylemlerdir.
Federaller ayrıca kritik altyapı sağlayıcılarının, diğer risk azaltma önlemlerinin yanı sıra, BT, siber güvenlik ve operasyonlardaki tüm paydaşların bildiği ve gerektiğinde hızla uygulayabileceği bir siber olay müdahale planına sahip olmasını ve yıkıcı bir saldırı durumunda daha hızlı kurtarma için geçerli çevrimdışı yedeklemeleri sürdürmesini önerdi. .
Buluta mı geçiyorsunuz? Varlıklarınızı nasıl savunacağınıza dair sağlam tavsiyelerle birlikte ortaya çıkan bulut güvenliği tehditlerini keşfedin. ÜCRETSİZ indirilebilir e-Kitap, “Bulut Güvenliği: 2022 Tahmini.” Kuruluşların en büyük risklerini ve zorluklarını, savunma için en iyi uygulamaları ve kullanışlı kontrol listeleri de dahil olmak üzere böylesine dinamik bir bilgi işlem ortamında güvenlik başarısı için tavsiyeleri keşfediyoruz.
