Irán gyanúja szerint egy európai energiavállalat feltörése VPNoverview.com

Arra gyanakszik, hogy egy Iránban székhellyel rendelkező államilag támogatott hackelési csoport feltört egy európai energiavállalatot. Úgy gondolják, hogy a csoport a PupyRAT nevû távoli elérésû trójai (RAT) használta támadásaikban.


Mi a PupyRAT?

A Pupy egy nyílt forráskódú RAT, elsősorban python-ban írva, amely teljes hozzáférést biztosít a támadóknak az áldozatok rendszeréhez. Ez egy platformon átívelő rosszindulatú program, és így több platformon behatolhat, nevezetesen a Windows, a Linux, az OSX és az Android.

A Remote Access Trojan (RAT) olyan rosszindulatú program, amely lehetővé teszi a hackerek számára az áldozatok számítógépének vagy hálózatának figyelését és ellenőrzését. Úgy működik, mint a legális távelérési programok, amelyeket gyakran a technikai támogatás használ az ügyfelek számítógéppel kapcsolatos problémáinak megoldására.

Noha a PupyRAT egy nyílt forráskódú malware, főként az iráni állami támogatású hackelési kampányokkal kapcsolódik. Különösen az APT 33 államilag támogatott hackelési csoportjával társul. Az APT 33 részt vett az energiaszektor szervezete elleni korábbi támadásokban világszerte.

Hogyan telepítették a RAT-ot??

A RAT-ok csak korábban veszélyeztetett rendszerekre telepíthetők. Ebben az esetben a kutatók nem tudják, hogyan telepítették a PupyRAT-ot, ám úgy vélik, hogy azt lándzsa-adathalász támadások útján terjesztették.

A lándzsás-adathalász támadások egyetlen címzettre irányulnak, nem pedig nagyszámú címzettre, mint a normál adathalász támadások esetén. A számítógépes bűnözők kiválasztják a célt egy szervezeten belül, és a közösségi médiát és más nyilvános információkat használnak arra, hogy többet megtudhassanak potenciális áldozataikról. Ezután hamis e-mailt készítenek az adott személy számára.

A korábbi APT 33 kampányok során a támadók potenciális áldozatot választottak ki és megszerezték bizalmukat, mielőtt végül rosszindulatú dokumentumot küldtek el e-mailben. Következésképpen a kutatók úgy vélik, hogy valószínű, hogy ebben az esetben ugyanazt a telepítési módszert használták.

A behatolás bizonyítéka az energiaipari társaságnál

A rögzített jövőbeli Insikt Csoport tegnap arról számolt be, hogy bizonyítékokat találtak egy PupyRAT Command and Control (C2) szerverről, amely 2019. november végétől 2020. január 5-ig egy levelező szerverrel cseveg..

Az Insikt Group jelentése ezt magyarázza: “Noha a metaadatok önmagában nem erősítik meg a kompromisszumot, úgy gondoljuk, hogy a célzott levélkiszolgálóról a PupyRAT C2-hez folytatott nagy mennyiség és ismételt kommunikáció elegendő a valószínű behatolás jelzésére.”

A levélkiszolgáló egy olyan európai energiaágazati szervezethez tartozott, amely koordinálja az energiaforrások elosztását és forrását Európában. Tekintettel a szervezet szerepére, ez a támadás különösen érdekes, különös tekintettel az iránihoz kapcsolódó behatolások növekedésére az energiaszektor ICS-szoftvereire.

Phil Neray, a CyberX ipari kiberbiztonsági alelnöke így nyilatkozott: „Tekintettel az európai energiainfrastruktúra kiterjedt, határokon átnyúló függőségére, ez az ellenfél stratégiai lépéseként összpontosít egy központosított célra, annak érdekében, hogy több országot érintsen a Ugyanakkor, hasonlóan az egy központi átviteli állomás támadásának stratégiai értékéhez, nem pedig több távoli alállomás helyett – amint azt az orosz fenyegetés szereplői a 2016. évi ukrán hálózati támadásban tették, szemben a 2015. évi támadással. ”

A támadók céljai

A kutatók úgy vélik, hogy ez az energiaszektor európai vállalkozásaival kapcsolatos legutóbbi hackelési kampány felderítő misszió volt. Úgy gondolják, hogy a misszió célja az energetikai folyamatokkal és az ipari vezérlőrendszerekkel (ICS) kapcsolatos fontos ismeretek összegyűjtése. A támadók arra is törekszenek, hogy meghatározzák a vállalati folyamatok és a kritikus infrastruktúra gyengeségeit.

Moriuchi Priscilla, a Recorded Future stratégiai fenyegetésfejlesztési igazgatója elmondja: „A mûveletek vagy pusztító támadások engedélyezése az ilyen típusú hónapokig tartó felfedezést és betekintést igényel e társaságok tisztviselõinek viselkedésébe és annak megértéséhez, hogy egy bizonyos képesség miként befolyásolhatja az információkat vagy az energiaelosztást. erőforrások.”

Az olyan országokban, mint Irán, amelyek gyanúja szerint ezeket a hackelési csoportokat szponzorálják, az ilyen ismeretek konfliktusok esetén felhasználhatók az ellenfelek ellen. Az információk felhasználhatók kiberbűncselekmények elindításához, hogy megbénítsák az ellenfél kulcsfontosságú ágazatait, mint például az energia, a víz és a közlekedés.

Ezt szem előtt tartva érdekes megjegyezni a hackelési kampány dátumait. Ezek azt jelzik, hogy a hackelési kampány Qassem Soleimani iráni tábornok meggyilkolásának geopolitikai feszültsége előtt indult. Következésképpen ez a kibertámadás nem lehetett volna megtorló támadás Soleimani meggyilkolásának.

Korábbi támadások a kritikus infrastruktúrához

Az ICS-rendszerek és a kritikus infrastruktúra elleni támadások az utóbbi években egyre növekszenek. Ennek oka az, hogy viszonylag könnyű célok.

Az ICS-rendszerek és a kritikus infrastruktúra, például a vasutak és erőművek esetében az a fő probléma, hogy a legtöbb építésük előtt a kiberbiztonságot vették figyelembe. Ezek közül soknak nem volt semmilyen biztonsági rendszere, és néhány ICS-rendszer még mindig nem rendelkezik. Amikor ezeket a biztonsági rendszereket utólag felújítják, nem mindig könnyű megtudni, hol maradtak lyukak. Valójában például sok ICS-rendszer tele van sebezhetőséggel.

A kritikus infrastruktúra elleni leghíresebb támadást 2012-ben a Stuxnet rosszindulatú programmal hajtották végre. A Stuxnet egy számítógépes féreg, amely kifejezetten a programozható logikai vezérlőket (PLC-ket) célozza meg. Ezek lehetővé teszik az ipari folyamatok és a gépek vezérlésére szolgáló folyamatok automatizálását.

A kutatók úgy vélik, hogy a Stuxnet-et az amerikai és izraeli hírszerzés fejlesztette ki, és egy iráni nukleáris finomító támadására használták fel. Mind az intelligenciát összegyűjtötte, mind az urán dúsítására használt centrifugák ezreit elpusztította.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me