Iran Sinuspinde ng Pag-hack ng isang European Energy Company | VPNoverview.com

Ang isang grupong naka-back-hack na grupo na nakabase sa Iran ay pinaghihinalaang na-hack ng isang kumpanya ng European Energy. Ang grupo ay pinaniniwalaang gumamit ng isang Remote Access Trojan (RAT) na tinatawag na PupyRAT sa kanilang pag-atake.


Ano ang PupyRAT

Ang Pupy ay isang bukas na mapagkukunan na nakasulat sa RAT na higit sa lahat sa python na maaaring magbigay ng mga umaatake sa pag-access sa mga sistema ng mga biktima. Ito ay isang piraso ng cross-platform ng malware at sa gayon ay makapasok ang maraming mga platform lalo na sa Windows, Linux, OSX at Android.

Ang isang Remote Access Trojan (RAT) ay malware na nagpapahintulot sa mga hacker na subaybayan at kontrolin ang computer o network ng isang biktima. Gumagana ito tulad ng mga lehitimong remote na programa ng pag-access na kadalasang ginagamit ng teknikal na suporta upang matulungan ang mga customer sa mga isyu sa computer.

Bagaman ang PupyRAT ay isang bukas na mapagkukunan ng malware, pangunahing nauugnay ito sa mga kampanyang hacking na sinusuportahan ng estado ng Iran. Ito ay partikular na nauugnay sa pangkat ng pag-hack ng APT 33 na estado. Ang APT 33 ay kasangkot sa mga nakaraang pag-atake sa samahan sa sektor ng enerhiya sa buong mundo.

Paano ang RAT Deployed?

Ang mga RAT ay maaari lamang ma-deploy sa dati nang naka-kompromiso na mga system. Sa pagkakataong ito, hindi alam ng mga mananaliksik kung paano nailipat ang PupyRAT ngunit naniniwala na ipinamamahagi ito sa pamamagitan ng pag-atake ng sibat.

Ang pag-atake ng spear-phishing ay naglalayong isang solong tatanggap sa halip na malaking bilang ng mga tatanggap tulad ng normal na pag-atake ng phishing. Pumili ang mga cybercriminals ng target sa loob ng isang samahan at gumamit ng social media at iba pang impormasyon sa publiko upang malaman ang higit pa tungkol sa kanilang potensyal na biktima. Pagkatapos ay nilikha nila ang isang pekeng email na iniaayon para sa taong iyon.

Ang nakaraang mga kampanya sa APT 33 ay nagsasangkot sa mga umaatake sa pagpili ng isang potensyal na biktima at pagkakaroon ng kanilang tiwala bago kalaunan magpadala sa kanila ng isang nakakahamong dokumento sa pamamagitan ng email. Dahil dito, naniniwala ang mga mananaliksik na malamang na ang parehong paraan ng paglawak ay ginamit sa kasong ito.

Ang katibayan ng panghihimasok sa Enerhiya Company

Iniulat kahapon na naitala ng Insikt Group kahapon na nakahanap sila ng katibayan ng isang PupyRAT Command and Control (C2) server na nakikipag-chat sa isang mail server mula noong huling bahagi ng Nobyembre 2019 hanggang ika-5 ng Enero 2020.

Ang ulat ng Insikt Group ay nagpapatuloy na ipaliwanag na: “Habang ang metadata lamang ay hindi nakakumpirma ng isang kompromiso, sinusuri namin na ang mataas na dami at paulit-ulit na komunikasyon mula sa naka-target na mail server sa isang PupyRAT C2 ay sapat na upang magpahiwatig ng isang posibleng panghihimasok.”

Ang mail server ay nabibilang sa isang European sektor ng sektor ng enerhiya na nag-coordinate ng paglalaan at resourcing ng mga mapagkukunan ng Enerhiya sa Europa. Dahil sa tungkulin ng samahan, ang pag-atake na ito ay may partikular na interes, lalo na isinasaalang-alang ang pagdaragdag ng panghihimasok sa Iran na nakaugnay sa enerhiya ng sektor ng ICS software.

Si Phil Neray, VP ng Industrial Cybersecurity sa CyberX, ay nagkomento: “Dahil sa malawak na mga dependency ng cross-border sa buong imprastraktura ng enerhiya ng Europa, lumilitaw na ito ay isang estratehikong hakbang ng kalaban na magtuon sa isang sentralisadong target upang maapektuhan ang maraming mga bansa sa sa parehong oras, katulad ng estratehikong halaga ng pag-atake sa isang solong gitnang paghahatid ng istasyon sa halip na maramihang mga maliliit na kapalit – tulad ng ginawa ng mga aktor na banta sa Russia noong 2016 na pag-atake sa grid ng grid kumpara sa kanilang pag-atake sa 2015. “

Ang mga Objectives ng Atake

Naniniwala ang mga mananaliksik na ang pinakabagong kampanya sa pag-hack sa mga kumpanya ng Europa sa sektor ng Enerhiya ay isang misyon ng reconnaissance. Ang misyon ay pinaniniwalaan na naglalayong magtipon ng mahahalagang kaalaman sa mga proseso ng mga halaman ng enerhiya at kanilang mga Industrial Control Systems (ICS). Inaasahan din ng mga umaatake na kilalanin ang mga kahinaan sa mga proseso ng mga kumpanya at kritikal na imprastraktura.

Si Priscilla Moriuchi, direktor ng estratehikong pag-unlad ng banta sa Recorded Future ay nagpapaliwanag: “Ang pagpapagana ng mga operasyon o mapanirang pag-atake ay tumatagal ng ganitong uri ng mga buwan na mahabang pag-alaala at pananaw sa pag-uugali ng mga opisyal sa mga kumpanyang ito at pag-unawa kung paano ang isang tiyak na kakayahan ay maaaring makaapekto sa impormasyon o pamamahagi ng enerhiya mapagkukunan. “

Para sa mga bansa tulad ng Iran, na pinaghihinalaang ng pag-sponsor ng mga grupong ito sa pag-hack, ang ganitong kaalaman ay maaaring magamit laban sa mga kalaban sa mga kaso ng salungatan. Ang impormasyon ay maaaring magamit upang ilunsad ang mga cyberattacks upang maparalisa ang mga pangunahing sektor ng kalaban, tulad ng kapangyarihan, tubig at transportasyon.

Sa isip nito, kawili-wiling tandaan ang mga petsa ng kampanya sa pag-hack. Ipinapahiwatig nito na ang kampanya sa pag-hack ay nagsimula bago ang pag-igting ng geopolitikal na dulot ng pagpatay sa Heneral Qassem Soleimani ng Iran. Dahil dito, ang cyberattack na ito ay hindi maaaring maging isang pag-atake ng paghihiganti sa pagpatay kay Soleimani.

Nakaraang Mga Pag-atake sa Kritikal na imprastraktura

Ang mga pag-atake sa mga sistema ng ICS at kritikal na imprastraktura ay tumaas sa mga nakaraang taon. Ang dahilan para dito ay ang mga ito ay medyo madaling mga target.

Ang pangunahing problema sa mga sistema ng ICS at kritikal na imprastraktura tulad ng mga riles ng tren at mga halaman ng kuryente ay ang karamihan ay itinayo bago ang pagsasaalang-alang sa cybersecurity ay isang pagsasaalang-alang. Marami sa mga ito ay walang anumang mga sistema ng seguridad at ang ilang mga sistema ng ICS ay hindi pa rin. Kapag sila ay muling nasasailalim sa mga sistema ng seguridad, hindi laging madaling malaman kung saan naiwan ang mga butas. Sa katunayan, maraming mga sistema ng ICS, halimbawa, ay puno ng kahinaan.

Ang pinakatanyag na pag-atake sa kritikal na imprastraktura ay isinagawa noong 2012 gamit ang malware Stuxnet. Ang Stuxnet ay isang computer worm na partikular na nagta-target sa mga Programmable Logic Controller (PLC). Pinapayagan nito ang automation ng mga pang-industriya na proseso at proseso upang makontrol ang makinarya.

Naniniwala ang mga mananaliksik na ang Stuxnet ay binuo ng talino ng Amerikano at Israel at ginamit upang atakehin ang isang Iranian nuclear refinery. Parehong nakolekta nito ang katalinuhan at sinira ang libu-libong mga sentripuges na ginamit upang mapayaman ang uranium.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me