Các tác nhân đe dọa đã phát triển các mô-đun tùy chỉnh để xâm phạm các thiết bị ICS khác nhau cũng như các máy trạm Windows gây ra mối đe dọa sắp xảy ra, đặc biệt là đối với các nhà cung cấp năng lượng.
Các tác nhân đe dọa đã xây dựng và sẵn sàng triển khai các công cụ có thể tiếp quản một số thiết bị hệ thống điều khiển công nghiệp (ICS) được sử dụng rộng rãi, gây rắc rối cho các nhà cung cấp cơ sở hạ tầng quan trọng - đặc biệt là những người trong lĩnh vực năng lượng, các cơ quan liên bang đã cảnh báo.
In một cố vấn chung, Bộ Năng lượng (DoE), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Cơ quan An ninh Quốc gia (NSA) và FBI cảnh báo rằng “một số tác nhân đe dọa dai dẳng nâng cao (APT)” đã chứng tỏ khả năng “đạt được đầy đủ hệ thống truy cập vào nhiều hệ thống điều khiển công nghiệp (ICS) / thiết bị kiểm soát giám sát và thu thập dữ liệu (SCADA), ”theo cảnh báo.
Các công cụ tùy chỉnh do APTs phát triển cho phép họ - khi họ đã có quyền truy cập vào mạng công nghệ hoạt động (OT) - để quét, xâm nhập và kiểm soát các thiết bị bị ảnh hưởng, theo các cơ quan. Họ nói rằng điều này có thể dẫn đến một số hành động bất chính, bao gồm nâng cao đặc quyền, di chuyển ngang trong môi trường Cựu ước và làm gián đoạn các thiết bị hoặc chức năng quan trọng.
Các thiết bị có nguy cơ là: Bộ điều khiển logic lập trình Schneider Electric MODICON và MODICON Nano (PLC), bao gồm (nhưng có thể không giới hạn ở) TM251, TM241, M258, M238, LMC058 và LMC078; PLC OMRON Sysmac NEX; và các máy chủ Kiến trúc Hợp nhất Truyền thông Nền tảng Mở (OPC UA), các cơ quan cho biết.
Các APT cũng có thể xâm phạm các máy trạm kỹ thuật dựa trên Windows hiện diện trong môi trường CNTT hoặc OT bằng cách sử dụng khai thác một lỗ hổng đã biết trong ASRock bo mạch chủ người lái xe, họ nói.
Cảnh báo nên được chú ý
Mặc dù các cơ quan liên bang thường đưa ra các lời khuyên về các mối đe dọa mạng, một chuyên gia bảo mật đã khuyến cáo các nhà cung cấp cơ sở hạ tầng quan trọng không xem nhẹ cảnh báo cụ thể này.
“Đừng nhầm lẫn, đây là một cảnh báo quan trọng từ CISA,” Tim Erlin, phó chủ tịch chiến lược tại Tripwire, nhận xét trong một email gửi tới Threatpost. "Các tổ chức công nghiệp nên chú ý đến mối đe dọa này."
Ông lưu ý rằng mặc dù bản thân cảnh báo đang tập trung vào các công cụ để đạt được quyền truy cập vào các thiết bị ICS cụ thể, bức tranh lớn hơn là toàn bộ môi trường kiểm soát công nghiệp đang gặp rủi ro một khi tác nhân đe dọa có được chỗ đứng.
“Những kẻ tấn công cần một điểm thỏa hiệp ban đầu để có quyền truy cập vào các hệ thống kiểm soát công nghiệp có liên quan và các tổ chức nên xây dựng hệ thống phòng thủ của họ cho phù hợp,” Erlin khuyên.
Bộ công cụ mô-đun
Họ cho biết các cơ quan đã cung cấp bảng phân tích các công cụ mô-đun do APTs phát triển cho phép họ thực hiện “các hoạt động khai thác tự động hóa cao chống lại các thiết bị được nhắm mục tiêu”.
Họ mô tả các công cụ này có một bảng điều khiển ảo với giao diện lệnh phản chiếu giao diện của thiết bị ICS / SCADA được nhắm mục tiêu. Các mô-đun tương tác với các thiết bị được nhắm mục tiêu, cung cấp cho các tác nhân đe dọa có kỹ năng thấp hơn khả năng mô phỏng các khả năng có kỹ năng cao hơn, các cơ quan cảnh báo.
Các hành động mà APT có thể thực hiện bằng cách sử dụng các mô-đun bao gồm: quét tìm thiết bị được nhắm mục tiêu, tiến hành trinh sát chi tiết thiết bị, tải cấu hình / mã độc hại lên thiết bị được nhắm mục tiêu, sao lưu hoặc khôi phục nội dung thiết bị và sửa đổi các thông số của thiết bị.
Ngoài ra, các tác nhân APT có thể sử dụng một công cụ cài đặt và khai thác lỗ hổng trong trình điều khiển bo mạch chủ ASRock AsrDrv103.sys được theo dõi là CVE-2020-15368. Lỗ hổng này cho phép thực thi mã độc trong nhân Windows, tạo điều kiện thuận lợi cho việc di chuyển ngang trong môi trường CNTT hoặc OT cũng như làm gián đoạn các thiết bị hoặc chức năng quan trọng.
Nhắm mục tiêu các thiết bị cụ thể
Các diễn viên cũng có một mô-đun cụ thể để tấn công người khác Thiết bị ICS. Mô-đun cho Schneider Electric tương tác với các thiết bị thông qua các giao thức quản lý thông thường và Modbus (TCP 502).
Mô-đun này có thể cho phép các tác nhân thực hiện các hành động độc hại khác nhau, bao gồm chạy quét nhanh để xác định tất cả các PLC Schneider trên mạng cục bộ; brute-ép mật khẩu PLC; xử lý tấn công từ chối dịch vụ (DoS) để chặn PLC nhận truyền thông mạng; hoặc tiến hành một cuộc tấn công “gói tin tử thần” để làm hỏng PLC, trong số những người khác, theo lời khuyên.
Các mô-đun khác trong công cụ APT nhắm mục tiêu các thiết bị OMRON và có thể quét tìm chúng trên mạng cũng như thực hiện các chức năng xâm phạm khác, các cơ quan cho biết.
Ngoài ra, các mô-đun OMRON có thể tải lên một tác nhân cho phép tác nhân đe dọa kết nối và bắt đầu các lệnh — chẳng hạn như thao tác tệp, chụp gói và thực thi mã — thông qua HTTP và / hoặc Bảo mật giao thức truyền siêu văn bản (HTTPS), theo cảnh báo.
Cuối cùng, một mô-đun cho phép xâm phạm thiết bị OPC UA bao gồm chức năng cơ bản để xác định máy chủ OPC UA và kết nối với máy chủ OPC UA bằng thông tin đăng nhập mặc định hoặc đã bị xâm phạm trước đó, các cơ quan cảnh báo.
Khuyến nghị giảm nhẹ
Các cơ quan đã cung cấp một danh sách đầy đủ các biện pháp giảm thiểu cho các nhà cung cấp cơ sở hạ tầng quan trọng để tránh sự xâm phạm hệ thống của họ bởi các công cụ APT.
Erwin của Tripwire lưu ý: “Việc này không đơn giản như áp dụng một bản vá. Trong danh sách, ông trích dẫn việc cô lập các hệ thống bị ảnh hưởng; sử dụng phát hiện điểm cuối, cấu hình và giám sát tính toàn vẹn; và phân tích nhật ký như các hành động chính mà tổ chức nên thực hiện ngay lập tức để bảo vệ hệ thống của họ.
Feds cũng khuyến nghị rằng các nhà cung cấp cơ sở hạ tầng quan trọng có một kế hoạch ứng phó sự cố mạng mà tất cả các bên liên quan trong CNTT, an ninh mạng và hoạt động đều biết và có thể thực hiện nhanh chóng nếu cần, cũng như duy trì các bản sao lưu ngoại tuyến hợp lệ để khôi phục nhanh hơn khi bị tấn công gián đoạn, trong số các biện pháp giảm thiểu khác .
Chuyển sang đám mây? Khám phá các mối đe dọa bảo mật đám mây đang nổi lên cùng với lời khuyên vững chắc về cách bảo vệ tài sản của bạn với Sách điện tử có thể tải xuống MIỄN PHÍ, “Bảo mật đám mây: Dự báo cho năm 2022.” Chúng tôi khám phá những rủi ro và thách thức hàng đầu của các tổ chức, các phương pháp hay nhất để bảo vệ và lời khuyên để thành công về bảo mật trong môi trường máy tính năng động như vậy, bao gồm danh sách kiểm tra hữu ích.
