Kaspersky a realizat recent o investigație privind atacurile cibernetice care vizează sectorul industrial din Europa de Est. Ancheta a relevat utilizarea de tactici, tehnici și proceduri avansate (TTP) de către atacatorii cibernetici pentru a compromite organizațiile industriale din regiune. Industrii precum producția, ingineria și integrarea sistemului de control industrial (ICS) au fost afectate în mod deosebit, subliniind nevoia urgentă de pregătire sporită pentru securitatea cibernetică.
În timpul anchetei, Kaspersky a descoperit o serie de atacuri țintite, cu scopul de a stabili un canal permanent pentru exfiltrarea datelor. Aceste campanii au prezentat asemănări semnificative cu atacurile cercetate anterior, precum ExCone și DexCone, sugerând implicarea APT31, cunoscut și sub numele de Judgment Panda și Zirconium.
Investigația a dezvăluit utilizarea implanturilor avansate concepute pentru acces la distanță, atestând cunoștințele și expertiza extinse ale atacatorilor în evitarea măsurilor de securitate. Aceste implanturi au permis stabilirea de canale persistente pentru exfiltrarea datelor, inclusiv din sisteme de înaltă securitate.
În special, atacatorii au folosit din nou tehnicile DLL Hijacking (adică abuzează de executabile legitime de la terți, care sunt susceptibile să încarce baze de date cu legături dinamice rău intenționate în memoria lor) pentru a încerca să evite detectarea în timp ce rulează mai multe implanturi utilizate în timpul celor 3 etape de atac.
Serviciile de stocare a datelor bazate pe cloud, cum ar fi Dropbox, precum și platformele temporare de partajare a fișierelor, au fost folosite pentru a exfiltra datele și a livra ulterior programe malware. De asemenea, au implementat infrastructura de comandă și control (C2) pe Yandex Cloud, precum și pe servere private virtuale (VPS) obișnuite, pentru a menține controlul asupra rețelelor compromise.
În cadrul acestor atacuri, au fost implementate noi variante ale malware-ului FourteenHi. Descoperită inițial în 2021 în timpul campaniei ExCone care vizează entitățile guvernamentale, această familie de malware a evoluat de atunci cu noi variante care au apărut în 2022 pentru a viza în mod specific infrastructura organizațiilor industriale.
În plus, în timpul investigației a fost descoperit un nou implant de malware, numit MeatBall. Acest implant de tip backdoor are capacități extinse de acces la distanță.
Pentru a citi raportul complet despre implanturile din prima etapă, accesați pagina ICS CERT.
Pentru a vă proteja computerele OT de diferite amenințări, experții Kaspersky recomandă:
- Efectuarea de evaluări regulate de securitate a sistemelor OT pentru a identifica și elimina posibilele probleme de securitate cibernetică.
- Stabilirea evaluării și triajului continuu în ceea ce privește vulnerabilitățile, ca bază pentru un proces eficient de gestionare a acestora. Soluțiile dedicate precum Kaspersky Industrial CyberSecurity pot deveni un asistent eficient și o sursă de informații unice care pot fi acționate, nefiind complet disponibile public.
- Efectuarea de actualizări în timp util pentru componentele cheie ale rețelei OT a companiei; aplicarea de corecții și patch-uri de securitate sau implementarea măsurilor compensatorii, de îndată ce este posibil din punct de vedere tehnic, sunt măsuri cruciale pentru prevenirea unui incident major care ar putea costa milioane de euro din cauza întreruperii procesului de producție.
- Utilizarea soluțiilor EDR, precum Kaspersky Endpoint Detection and Response, pentru detectarea în timp util a amenințărilor sofisticate, investigarea și remedierea în mod eficient a incidentelor.
- Îmbunătățirea răspunsului la tehnici rău intenționate noi și avansate prin construirea și consolidarea abilităților de prevenire, detectare și răspuns ale echipelor dumnevoastră de gestionare a incidente. Sesiunile de training dedicate securității OT pentru echipele de securitate IT și personalul OT sunt una dintre măsurile cheie care ajută la realizarea acestui lucru.