Irāna, kas tiek turēta aizdomās par Eiropas enerģētikas uzņēmuma hakeru Vietne VPNoverview.com

Tiek turēts aizdomās, ka Irākā bāzēta valsts atbalstīta hakeru grupa ir uzlauzusi kādu Eiropas enerģētikas uzņēmumu. Tiek uzskatīts, ka grupa uzbrukumā ir izmantojusi Remote Access Trojan (RAT) ar nosaukumu PupyRAT.


Kas ir PupyRAT?

Pupy ir atvērtā koda RAT, kas rakstīts galvenokārt python formātā, un kas uzbrucējiem var dot pilnīgu piekļuvi upuru sistēmām. Tas ir vairāku platformu ļaunprātīgas programmatūras gabals un tādējādi var iefiltrēties vairākās platformās, proti, Windows, Linux, OSX un Android.

Remote Access Trojan (RAT) ir ļaunprātīga programmatūra, kas ļauj hakeriem uzraudzīt un kontrolēt upura datoru vai tīklu. Tas darbojas tāpat kā likumīgas attālās piekļuves programmas, kuras bieži izmanto tehniskais atbalsts, lai palīdzētu klientiem ar datoru saistītos jautājumos.

Lai arī PupyRAT ir atvērtā koda ļaunprātīga programmatūra, tā galvenokārt ir saistīta ar Irānas valsts atbalstītām hakeru kampaņām. Tas ir īpaši saistīts ar APT 33 valsts atbalstītu hakeru grupu. APT 33 ir iesaistīts iepriekšējos uzbrukumos organizācijām enerģētikas nozarē visā pasaulē.

Kā tika ievietots RAT?

RAT var izvietot tikai iepriekš kompromitētajās sistēmās. Šajā gadījumā pētnieki nezina, kā tika ievietots PupyRAT, taču uzskata, ka tas tika izplatīts ar šķēpu pikšķerēšanas uzbrukumiem.

Pikšķerēšanas pikšķerēšanas uzbrukumi ir vērsti uz vienu adresātu, nevis lielu saņēmēju skaitu, tāpat kā ar parastiem pikšķerēšanas uzbrukumiem. Kibernoziedznieki izvēlas mērķi organizācijā un izmanto sociālos medijus un citu publisku informāciju, lai uzzinātu vairāk par savu potenciālo upuri. Pēc tam viņi izstrādā šai personai pielāgotu viltotu e-pastu.

Iepriekšējās APT 33 kampaņās uzbrucēji ir atlasījuši potenciālo upuri un ieguvuši viņu uzticību, pirms galu galā viņiem pa e-pastu nosūtīja ļaunprātīgu dokumentu. Līdz ar to pētnieki uzskata, ka, iespējams, šajā gadījumā tika izmantota tā pati izvietošanas metode.

Pierādījumi par ielaušanos enerģijas uzņēmumā

Ierakstītā Future’s Insikt grupa vakar ziņoja, ka ir atraduši pierādījumus par PupyRAT Command and Control (C2) servera tērzēšanu ar pasta serveri no 2019. gada novembra beigām līdz 2020. gada 5. janvārim..

Insikt grupas ziņojums turpina izskaidrot: “Kaut arī metadati vien neapstiprina kompromisu, mēs vērtējam, ka lielais apjoms un atkārtotie sakari no mērķa pasta servera uz PupyRAT C2 ir pietiekami, lai norādītu uz iespējamu ielaušanos.”

Pasta serveris piederēja Eiropas enerģētikas nozares organizācijai, kas koordinē energoresursu sadali un resursus Eiropā. Ņemot vērā organizācijas lomu, šis uzbrukums rada īpašu interesi, jo īpaši ņemot vērā pieaugošo Irānas iejaukšanos enerģijas nozares ICS programmatūrā.

Fils Nerajs, CyberX rūpnieciskās kiberdrošības viceprezidents, komentēja: “Ņemot vērā Eiropas enerģētikas infrastruktūras plašās pārrobežu atkarības, tas šķiet pretinieka stratēģisks solis koncentrēties uz centralizētu mērķi, lai ietekmētu vairākas valstis. tajā pašā laikā, līdzīgi kā stratēģiskā vērtība, uzbrūkot vienai centrālajai pārraides stacijai, nevis vairākām attālām apakšstacijām – kā to izdarīja Krievijas draudu dalībnieki 2016. gada Ukrainas tīkla uzbrukumā, salīdzinot ar viņu 2015. gada uzbrukumu. ”

Uzbrucēju mērķi

Pētnieki uzskata, ka šī jaunākā hakeru kampaņa, kas veltīta Eiropas uzņēmumiem enerģētikas nozarē, bija iepazīšanās ar misiju. Tiek uzskatīts, ka misijas mērķis ir iegūt svarīgas zināšanas par enerģijas ražotņu procesiem un to rūpnieciskās vadības sistēmām (ICS). Uzbrucēji arī meklē nepilnības uzņēmumu procesos un kritiskajā infrastruktūrā.

Priscilla Moriuchi, uzņēmuma Recorded Future stratēģisko draudu attīstības direktore, skaidro: “Operāciju vai destruktīvu uzbrukumu aktivizēšana prasa šāda veida mēnešus ilgu izpēti un ieskatu amatpersonu uzvedībā šajos uzņēmumos un izpratni par to, kā noteiktas spējas varētu ietekmēt informāciju vai enerģijas sadali. resursiem. ”

Tādām valstīm kā Irāna, kuras tiek turētas aizdomās par šo hakeru grupu sponsorēšanu, šādas zināšanas var izmantot pret pretiniekiem konfliktu gadījumos. Informāciju var izmantot, lai sāktu kiberuzbrukumus, lai paralizētu pretinieka galvenās nozares, piemēram, enerģētiku, ūdeni un transportu.

Paturot to prātā, ir interesanti atzīmēt hakeru kampaņas datumus. Tie norāda, ka hakeru kampaņa sākās pirms ģeopolitiskās spriedzes, ko izraisīja Irānas ģenerāļa Kasema Soleimani nogalināšana. Līdz ar to šis kiberuzbrukums nevarēja būt represīvs uzbrukums Soleimani slepkavībai.

Iepriekšējie uzbrukumi kritiskajai infrastruktūrai

Uzbrukumi ICS sistēmām un kritiskajai infrastruktūrai pēdējos gados ir palielinājušies. Iemesls tam ir tas, ka tie ir salīdzinoši viegli mērķi.

Galvenā ICS sistēmu un kritiskās infrastruktūras, piemēram, dzelzceļa un elektrostaciju, problēma ir tā, ka lielākā daļa tika būvēta pirms kiberdrošības apsvēršanas. Daudzām no tām nebija drošības sistēmu, un dažām ICS sistēmām tās joprojām nebija. Pēc tam, kad tie tiek modernizēti ar drošības sistēmām, ne vienmēr ir viegli zināt, kur ir palikuši caurumi. Faktiski, piemēram, daudzās ICS sistēmās ir nepilnības.

Visslavenākais uzbrukums kritiskajai infrastruktūrai tika veikts 2012. gadā, izmantojot ļaunprogrammatūru Stuxnet. Stuxnet ir datoru tārps, kas ir īpaši paredzēts programmējamiem loģiskajiem kontrolieriem (PLC). Tas ļauj automatizēt rūpnieciskos procesus un procesus, lai kontrolētu mašīnas.

Pētnieki uzskata, ka Stuxnet izstrādāja Amerikas un Izraēlas izlūkdienesti un tas tika izmantots, lai uzbruktu Irānas kodolrafinēšanas rūpnīcai. Tas gan vāca izlūkdatus, gan iznīcināja tūkstošiem centrifūgu, ko izmantoja urāna bagātināšanai.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me