Зловмисники розробили спеціальні модулі для компрометації різних пристроїв ICS, а також робочих станцій Windows, які становлять неминучу загрозу, особливо для постачальників електроенергії.
Зловмисники створили та готові розгорнути інструменти, які можуть заволодіти низкою широко використовуваних пристроїв систем промислового керування (ICS), що створює проблеми для постачальників критичної інфраструктури, особливо в енергетичному секторі, попередили федеральні агентства.
In спільна консультація, Міністерство енергетики (DoE), Агентство з кібербезпеки та безпеки інфраструктури (CISA), Агентство національної безпеки (NSA) і ФБР попереджають, що «деякі суб’єкти постійної загрози» вже продемонстрували здатність «отримувати повну системний доступ до кількох пристроїв систем промислового керування (ICS)/диспетчерського керування та збору даних (SCADA),» згідно з попередженням.
Спеціальні інструменти, розроблені APTs, дозволяють їм, як тільки вони отримають доступ до мережі операційних технологій (OT), сканувати, компрометувати та контролювати уражені пристрої, за словами агентств. За їхніми словами, це може призвести до ряду нечесних дій, включаючи підвищення привілеїв, латеральне переміщення в середовищі OT і порушення роботи критичних пристроїв або функцій.
Пристрої ризику: програмовані логічні контролери Schneider Electric MODICON і MODICON Nano (PLC), включаючи (але не обмежуючись ними) TM251, TM241, M258, M238, LMC058 і LMC078; ПЛК OMRON Sysmac NEX; і сервери Open Platform Communications Unified Architecture (OPC UA), повідомляють агентства.
APT також можуть скомпрометувати інженерні робочі станції на базі Windows, які присутні в ІТ або ОТ середовищах, використовуючи експлойт для відомої вразливості в ASRock материнська плата водій, сказали вони.
Попередження слід прислухатися
Хоча федеральні агентства часто публікують поради щодо кіберзагроз, один спеціаліст із безпеки закликав постачальники критичної інфраструктури не сприймайте це попередження легковажно.
«Не помиляйтесь, це важливе сповіщення від CISA», — зазначив Тім Ерлін, віце-президент зі стратегії Tripwire, в електронному листі до Threatpost. «Промислові організації повинні звернути увагу на цю загрозу».
Він зауважив, що хоча саме попередження зосереджено на інструментах для отримання доступу до певних пристроїв ICS, ширша картина полягає в тому, що все середовище промислового контролю потрапляє під загрозу, коли загроза закріплюється.
«Зловмисникам потрібна початкова точка компромісу, щоб отримати доступ до відповідних систем промислового контролю, і організації повинні відповідним чином будувати свій захист», — порадив Ерлін.
Модульний набір інструментів
За їх словами, агентства надали розбивку модульних інструментів, розроблених APTs, які дозволяють їм проводити «високоавтоматизовані дії проти цільових пристроїв».
Вони описали інструменти як такі, що мають віртуальну консоль з командним інтерфейсом, який відображає інтерфейс цільового пристрою ICS/SCADA. Агентства попереджають, що модулі взаємодіють із цільовими пристроями, надаючи навіть менш кваліфікованим суб’єктам загрози можливість імітувати можливості вищої кваліфікації.
Дії, які APT можуть виконувати за допомогою модулів, включають: сканування цільових пристроїв, проведення розвідки деталей пристрою, завантаження зловмисної конфігурації/коду на цільовий пристрій, резервне копіювання або відновлення вмісту пристрою та зміна параметрів пристрою.
Крім того, учасники APT можуть використовувати інструмент, який встановлює та використовує вразливість у драйвері материнської плати ASRock AsrDrv103.sys, яка відстежується як CVE-2020-15368. Порушення дозволяє виконувати зловмисний код у ядрі Windows, сприяючи боковому переміщенню в середовищі IT або OT, а також зриву критичних пристроїв або функцій.
Націлювання на конкретні пристрої
Актори також мають спеціальні модулі для атаки на інших пристрої ICS. Модуль для Schneider Electric взаємодіє з пристроями через звичайні протоколи керування та Modbus (TCP 502).
Цей модуль може дозволити суб’єктам виконувати різноманітні зловмисні дії, включаючи запуск швидкого сканування для ідентифікації всіх ПЛК Schneider у локальній мережі; підбір паролів ПЛК; проведення атаки на відмову в обслуговуванні (DoS), щоб блокувати ПЛК від отримання мережевих повідомлень; або проведення атаки «пакет смерті» для збою ПЛК, серед іншого, згідно з порадою.
Інші модулі в інструменті APT націлені на пристрої OMRON і можуть сканувати їх у мережі, а також виконувати інші компрометуючі функції, повідомляють агентства.
Крім того, модулі OMRON можуть завантажувати агента, який дозволяє загрозливому суб’єкту підключатися та ініціювати команди, такі як маніпуляції з файлами, захоплення пакетів і виконання коду, через HTTP та/або захищений протокол передачі гіпертексту (HTTPS), відповідно до попередження.
Нарешті, модуль, який дозволяє скомпрометувати пристрої OPC UA, включає базову функціональність для ідентифікації серверів OPC UA та підключення до сервера OPC UA, використовуючи стандартні або раніше скомпрометовані облікові дані, попередили агентства.
Рекомендовані заходи пом'якшення
Агентства запропонували розширений список пом’якшень для постачальників критичної інфраструктури, щоб уникнути компрометації їхніх систем інструментами APT.
«Це не так просто, як застосувати патч», — зазначив Ервін з Tripwire. Зі списку він назвав ізоляцію постраждалих систем; використання виявлення кінцевої точки, конфігурації та моніторингу цілісності; і аналіз журналів як ключові дії, які організації повинні негайно вжити для захисту своїх систем.
Федеральні органи також рекомендували, щоб постачальники критично важливої інфраструктури мали план реагування на кіберінциденти, який знають усі зацікавлені сторони в ІТ, кібербезпеці та операціях і можуть швидко запровадити в разі потреби, а також підтримувати дійсні автономні резервні копії для швидшого відновлення після підривної атаки, серед інших засобів пом’якшення. .
Перехід до хмари? Відкрийте для себе нові загрози хмарній безпеці разом із надійними порадами щодо того, як захистити свої активи за допомогою наших БЕЗКОШТОВНА електронна книга, яку можна завантажити, «Хмарна безпека: прогноз на 2022 рік». Ми досліджуємо основні ризики та виклики організацій, передові методи захисту та поради щодо успіху в безпеці в такому динамічному обчислювальному середовищі, включаючи зручні контрольні списки.
