Iran osumljen evropskega energetskega podjetja | VPNoverview.com

Osumljena je, da je državna podpora za hekersko skupino s sedežem v Iranu napadla evropsko energetsko podjetje. Verjame se, da je skupina v svojem napadu uporabila Trojan za oddaljeni dostop (RAT), imenovan PupyRAT.


Kaj je PupyRAT

Pupy je odprtokodni RAT, napisan predvsem v pythonu, ki lahko napadalcem omogoči popoln dostop do sistemov žrtev. To je zlonamerna programska oprema, ki deluje na več platformah, zato lahko prodre na več platform, in sicer Windows, Linux, OSX in Android.

Trojanec z oddaljenim dostopom (RAT) je zlonamerna programska oprema, ki hekerjem omogoča spremljanje in nadzor računalnika ali omrežja žrtve. Deluje kot zakoniti programi za oddaljeni dostop, ki jih tehnična podpora pogosto uporablja za pomoč strankam pri težavah z računalnikom.

Čeprav je PupyRAT zlonamerna programska oprema odprtega izvora, je povezan predvsem z iranskimi hekerskimi akcijami, ki jih podpira država. Posebej je povezan s hekersko skupino APT 33, ki jo podpira država. APT 33 je bil vpleten v pretekle napade na organizacijo v energetskem sektorju po vsem svetu.

Kako je bil razporejen RAT?

RAT-i se lahko uporabijo samo v prej ogroženih sistemih. V tem primeru raziskovalci ne vedo, kako je bil nameščen PupyRAT, vendar verjamejo, da je bil razširjen s napadi s sukanjem z lažnim predstavljanjem.

Napadi z lažnim lažnim predstavljanjem so usmerjeni na enega samega prejemnika in ne na veliko število prejemnikov, kot pri običajnih phishing napadih. Kibernetski kriminalci izberejo cilj v organizaciji in uporabljajo socialne medije in druge javne informacije, da izvejo več o svoji potencialni žrtvi. Nato izdelajo ponarejeno e-pošto, prilagojeno tej osebi.

Prejšnje kampanje APT 33 so vključile napadalce, ki so izbrali potencialno žrtev in si pridobili zaupanje, preden so jim na koncu poslali zlonamerni dokument po e-pošti. Posledično raziskovalci verjamejo, da je verjetno v tem primeru uporabljena enaka metoda uvajanja.

Dokazi o vdoru v energetsko družbo

Skupina Insikt Recorded Future je včeraj poročala, da so našli dokaze, da strežnik PupyRAT Command and Control (C2) klepeta s poštnim strežnikom od konca novembra 2019 do 5. januarja 2020.

Poročilo Insikt Group nadalje pojasnjuje, da: “Medtem ko metapodatki samo po sebi ne potrjujejo kompromisa, ocenjujemo, da velika količina in ponavljajoča se komunikacija s ciljnega poštnega strežnika na PupyRAT C2 zadostujeta, da nakazujeta verjetno vdor.”

Poštni strežnik je pripadal evropski organizaciji v energetskem sektorju, ki koordinira dodeljevanje in zagotavljanje virov energije v Evropi. Glede na vlogo organizacije je ta napad še posebej zanimiv, zlasti če upoštevamo povečanje vdorov v Iran, povezane s programsko opremo ICS za energetski sektor.

Phil Neray, podpredsednik industrijske kibernetske varnosti pri CyberX, je komentiral: “Glede na obsežne čezmejne odvisnosti evropske energetske infrastrukture se zdi, da je nasprotnik strateški korak, da se osredotoči na centraliziran cilj, da bi vplival na več držav na hkrati podobno kot strateška vrednost napada na eno centralno prenosno postajo in ne na več oddaljenih podstanic – kot so to storili ruski akterji groženj v napadu na ukrajinsko omrežje leta 2016 v primerjavi z napadom iz leta 2015. “

Cilji napadalcev

Raziskovalci menijo, da je bila ta zadnja hekerska akcija za evropska podjetja v energetskem sektorju izvidniška misija. Misija naj bi bila usmerjena v zbiranje pomembnega znanja o procesih energetskih elektrarn in njihovih industrijskih nadzornih sistemov (ICS). Tudi napadalci želijo odkriti pomanjkljivosti v procesih podjetij in kritični infrastrukturi.

Priscilla Moriuchi, direktor razvoja strateških groženj pri Recorded Future, pojasnjuje: “Omogočanje operacij ali uničevalnih napadov zahteva tovrstno večmesečno izvidovanje in vpogled v vedenje uradnikov v teh podjetjih ter razumevanje, kako lahko določena sposobnost vpliva na informacije ali distribucijo energije viri. “

Za države, kot je Iran, za katere obstaja sum, da so sponzorirale te hekerske skupine, se lahko takšno znanje uporabi v nasprotju s nasprotniki. Te informacije se lahko uporabijo za začetek kibernetskih napadov za ohromitev ključnih sektorjev nasprotnika, kot so energija, voda in transport.

Glede na to je zanimivo opaziti datume hekerske kampanje. Ti kažejo, da se je hekerska kampanja začela pred geopolitičnimi napetostmi, ki jih je povzročil umor iranskega generala Qassema Soleimanija. Posledično ta kibernetski napad ne bi mogel biti povračilni napad za Soleimanijev atentat.

Prejšnji napadi na kritično infrastrukturo

Napadi na sisteme ICS in kritična infrastruktura so v zadnjih letih v porastu. Razlog za to je, da so razmeroma lahke tarče.

Glavna težava pri sistemih ICS in kritični infrastrukturi, kot so železnice in elektrarne, je ta, da je bila večina zgrajena, preden je bila kibernetska varnost upoštevana. Mnogi od njih še niso imeli nobenih varnostnih sistemov, nekateri pa še vedno ne. Ko so nato opremljeni z varnostnimi sistemi, ni vedno enostavno vedeti, kje so še ostale luknje. V resnici je na primer veliko sistemov ICS polnih ranljivosti.

Najbolj znan napad na kritično infrastrukturo je bil izveden leta 2012 z uporabo zlonamerne programske opreme Stuxnet. Stuxnet je računalniški črv, ki je posebej usmerjen v programirljive logične krmilnike (PLC). Te omogočajo avtomatizacijo industrijskih procesov in procesov za nadzor strojev.

Raziskovalci menijo, da so Stuxnet razvili ameriška in izraelska obveščevalna služba in je bil uporabljen za napad na iransko jedrsko rafinerijo. Oba sta zbirala inteligenco in uničila na tisoče centrifug, ki so jih uporabljali za obogatitev urana.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me