Iran verdacht van hacking van een Europees energiebedrijf | VPNoverview.com

Een door de staat gesteunde hackgroep in Iran wordt ervan verdacht een Europees energiebedrijf te hebben gehackt. De groep zou bij hun aanval een Remote Access Trojan (RAT) genaamd PupyRAT hebben gebruikt.


Wat is PupyRAT

Pupy is een open-source RAT die voornamelijk in python is geschreven en die aanvallers volledige toegang tot de systemen van slachtoffers kan geven. Het is een platformonafhankelijke malware en kan dus meerdere platforms infiltreren, namelijk Windows, Linux, OSX en Android.

Een Remote Access Trojan (RAT) is malware waarmee hackers de computer of het netwerk van een slachtoffer kunnen controleren en besturen. Het werkt als legitieme programma’s voor externe toegang die vaak door technische ondersteuning worden gebruikt om klanten te helpen met computerproblemen.

Hoewel PupyRAT een open-source stukje malware is, is het vooral verbonden met door de staat gesteunde hackercampagnes. Het wordt vooral geassocieerd met de door de staat gesteunde hackgroep APT 33. APT 33 is betrokken geweest bij eerdere aanvallen op organisaties in de energiesector wereldwijd.

Hoe werd de RAT ingezet?

RAT’s kunnen alleen worden ingezet op eerder aangetaste systemen. In dit geval weten onderzoekers niet hoe de PupyRAT is ingezet, maar denken dat deze is verspreid via spear-phishing-aanvallen.

Spear-phishing-aanvallen zijn gericht op een enkele ontvanger in plaats van op een groot aantal ontvangers, zoals bij normale phishing-aanvallen. Cybercriminelen selecteren een doelwit binnen een organisatie en gebruiken sociale media en andere openbare informatie om meer te weten te komen over hun potentiële slachtoffer. Vervolgens maken ze een nep-e-mail op maat van die persoon.

Bij eerdere APT 33-campagnes waren aanvallers betrokken bij het selecteren van een potentieel slachtoffer en het winnen van hun vertrouwen voordat ze hen uiteindelijk per e-mail een schadelijk document stuurden. Bijgevolg denken onderzoekers dat het waarschijnlijk is dat in dit geval dezelfde implementatiemethode is gebruikt.

Bewijs van de inbraak op het energiebedrijf

Recorded Future’s Insikt Group meldde gisteren dat ze bewijs hadden gevonden van een PupyRAT Command and Control (C2) -server die van eind november 2019 tot 5 januari 2020 aan het chatten was met een mailserver.

Het rapport van Insikt Group legt verder uit dat: “Hoewel metadata alleen geen compromis bevestigt, beoordelen we dat het hoge volume en de herhaalde communicatie van de beoogde mailserver naar een PupyRAT C2 voldoende zijn om een ​​waarschijnlijke inbraak aan te geven.”

De mailserver behoorde tot een Europese energiesectororganisatie die de toewijzing en middelen van energiebronnen in Europa coördineert. Gezien de rol van de organisatie is deze aanval van bijzonder belang, vooral gezien de toename van aan Iran gekoppelde inbraken op ICS-software in de energiesector.

Phil Neray, VP van Industrial Cybersecurity bij CyberX, merkte op: “Gezien de uitgebreide grensoverschrijdende afhankelijkheden binnen de Europese energie-infrastructuur, lijkt dit een strategische zet van de tegenstander om zich te concentreren op een gecentraliseerd doel om meerdere landen op de Tegelijkertijd is het vergelijkbaar met de strategische waarde van het aanvallen van één centraal transmissiestation in plaats van meerdere externe onderstations – zoals Russische bedreigingsactoren deden in de Oekraïense netaanval van 2016 in vergelijking met hun aanval van 2015. “

De doelstellingen van de aanvallers

Onderzoekers zijn van mening dat deze laatste hackcampagne tegen Europese bedrijven in de energiesector een verkenningsmissie was. De missie zou gericht zijn op het vergaren van belangrijke kennis over de processen van energiecentrales en hun Industrial Control Systems (ICS). De aanvallers zoeken ook naar zwakke punten in de processen en kritieke infrastructuur van bedrijven.

Priscilla Moriuchi, directeur strategische dreigingsontwikkeling bij Recorded Future legt uit: “Het mogelijk maken van operaties of destructieve aanvallen vergt dit soort maandenlange verkenning en inzicht in het gedrag van ambtenaren bij deze bedrijven en inzicht in hoe een bepaald vermogen informatie of distributie van energie zou kunnen beïnvloeden middelen.”

Voor landen als Iran, die ervan verdacht worden deze hackgroepen te sponsoren, kan dergelijke kennis worden gebruikt tegen tegenstanders in geval van conflict. De informatie kan worden gebruikt om cyberaanvallen uit te voeren om de belangrijkste sectoren van een tegenstander, zoals elektriciteit, water en vervoer, te verlammen.

Met dit in gedachten is het interessant om de data van de hackcampagne te noteren. Deze geven aan dat de hackcampagne begon vóór de geopolitieke spanning die werd veroorzaakt door de moord op de Iraanse generaal Qassem Soleimani. Bijgevolg kon deze cyberaanval geen vergeldingsaanval zijn geweest voor de moord op Soleimani.

Eerdere aanvallen op kritieke infrastructuur

Het aantal aanvallen op ICS-systemen en kritieke infrastructuur neemt de laatste jaren toe. De reden hiervoor is dat het relatief gemakkelijke doelen zijn.

Het grootste probleem met ICS-systemen en kritieke infrastructuur zoals spoorwegen en energiecentrales is dat de meeste zijn gebouwd voordat cyberbeveiliging een overweging was. Veel hiervan hadden geen beveiligingssystemen en sommige ICS-systemen nog steeds niet. Wanneer ze vervolgens worden uitgerust met beveiligingssystemen, is het niet altijd gemakkelijk om te weten waar er gaten zijn achtergelaten. Sterker nog, veel ICS-systemen zitten bijvoorbeeld vol met kwetsbaarheden.

De meest bekende aanval op kritieke infrastructuur werd in 2012 uitgevoerd met de malware Stuxnet. Stuxnet is een computerworm die zich specifiek richt op programmeerbare logische controllers (PLC’s). Deze maken automatisering mogelijk van industriële processen en processen om machines te besturen.

Onderzoekers zijn van mening dat Stuxnet is ontwikkeld door Amerikaanse en Israëlische inlichtingendiensten en werd gebruikt om een ​​Iraanse nucleaire raffinaderij aan te vallen. Het verzamelde zowel informatie als vernietigde duizenden centrifuges die werden gebruikt om uranium te verrijken.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map