Iran vermoed dat hy ‘n Europese energievennootskap gekap het | VPNoverview.com

‘N Staatsgroep wat in Iran gebaseer is, word verdink dat hy ‘n Europese energie-onderneming gekap het. Die groep het vermoedelik ‘n Trojan (RAT) met die naam PupyRAT in hul aanval gebruik.


Wat is PupyRAT

Pupy is ‘n open source RAT wat hoofsaaklik in python geskryf is en wat aanvallers volle toegang tot die stelsels van die slagoffers kan gee. Dit is ‘n dwarsplatform-stukkie malware en kan dus verskeie platforms infiltreer, naamlik Windows, Linux, OSX en Android.

‘N Trojan met afstandtoegang (RAT) is malware wat toelaat dat hackers die rekenaar of netwerk van ‘n slagoffer monitor en beheer. Dit werk soos wettige programme vir afgeleë toegang wat gereeld deur tegniese ondersteuning gebruik word om kliënte met rekenaarprobleme te help.

Alhoewel PupyRAT ‘n open source stuk malware is, is dit hoofsaaklik gekoppel aan Iranse staatsgesteunde inbraakveldtogte. Dit hou veral verband met die APT 33-staatssteun-hackinggroep. APT 33 was wêreldwyd betrokke by aanvalle op organisasies in die energiesektor.

Hoe is die RAT ontplooi??

RATS kan slegs op voorheen gekompromitteerde stelsels ontplooi word. In hierdie geval weet navorsers nie hoe die PupyRAT ontplooi is nie, maar hulle glo dat dit versprei is via spear-phishing-aanvalle.

Spear-phishing-aanvalle is gerig op ‘n enkele ontvanger eerder as ‘n groot aantal ontvangers, soos met normale phishing-aanvalle. Cybercriminals kies ‘n teiken binne ‘n organisasie en gebruik sosiale media en ander openbare inligting om meer te wete te kom oor hul potensiële slagoffer. Hulle stuur dan ‘n vals e-pos aan wat vir daardie persoon aangepas is.

Vorige APT 33-veldtogte het aanvallers betrek wat ‘n potensiële slagoffer kies en hul vertroue bekom het voordat hulle uiteindelik ‘n kwaadwillige dokument per e-pos gestuur het. Gevolglik is navorsers van mening dat dit waarskynlik is dat dieselfde implementeringsmetode in hierdie geval gebruik is.

Getuienis van die inmenging by die energieonderneming

Insikt Group van Record Future het gister berig dat hulle bewyse gevind het van ‘n PupyRAT Command and Control (C2) bediener wat van einde November 2019 tot 5 Januarie 2020 met ‘n e-posbediener gesels..

In die verslag van Insikt Group word verder verklaar dat: “Alhoewel metadata alleen nie ‘n kompromie bevestig nie, beoordeel ons dat die hoë volume en herhaalde kommunikasie van die geteikende posbediener na ‘n PupyRAT C2 voldoende is om ‘n waarskynlike indringing aan te dui.”

Die e-posbediener behoort aan ‘n Europese organisasie vir energiesektor wat die toekenning en hulpbronne van energiebronne in Europa koördineer. Gegewe die organisasie se rol, is hierdie aanval van besondere belang, veral met inagneming van die toename in Iran-gekoppelde indringings op die ICS-sagteware vir energiesektor.

Phil Neray, VP van Industrial Cybersecurity by CyberX, het gesê: “Gegewe die uitgebreide grensoverschrijdende afhankhede in die Europese energie-infrastruktuur, blyk dit ‘n strategiese beweging van die teenstander te wees om op ‘n gesentraliseerde teiken te fokus om verskeie lande op die dieselfde tyd, soortgelyk aan die strategiese waarde van die aanval op ‘n enkele sentrale transmissiestasie eerder as op verskeie substasies op afstand – soos Russiese bedreigingsakteurs in die Oekraïense netaanval in 2016 in vergelyking met hul aanval in 2015. “

Die doelwitte van die aanvallers

Navorsers is van mening dat hierdie jongste veldtog vir Europese ondernemings in die energiesektor ‘n verkenningsmissie was. Daar word geglo dat die missie daarop gemik is om belangrike kennis te versamel van prosesse van energie-aanlegte en hul industriële beheerstelsels (ICS). Die aanvallers probeer ook om swakhede in die prosesse en kritieke infrastruktuur van ondernemings te identifiseer.

Priscilla Moriuchi, direkteur van strategiese bedreigingsontwikkeling by Record Future, verduidelik: ‘Dit is ‘n maande lange verkenning en insig in die gedrag van amptenare by hierdie ondernemings om ‘n sekere vermoëns te beïnvloed en om te verstaan ​​hoe ‘n sekere vermoë inligting of verspreiding van energie kan beïnvloed. hulpbronne. “

Vir lande soos Iran, wat verdink word dat hulle hierdie hacking-groepe geborg het, kan sulke kennis gebruik word teen teëstanders in gevalle van konflik. Die inligting kan gebruik word om kuberaanvalle te loods om die sleutelsektore van ‘n teëstander, soos krag, water en vervoer, te verlam..

Met die oog hierop is dit interessant om kennis te neem van die datums van die inbraakveldtog. Dit dui daarop dat die inbraakveldtog begin is voor die geopolitieke spanning wat veroorsaak is deur die dood van die Iranse generaal Qassem Soleimani. Gevolglik kon hierdie kuberaanval nie ‘n vergeldingsaanval vir die moord op Soleimani gewees het nie.

Vorige aanvalle op kritieke infrastruktuur

Aanvalle op ICS-stelsels en kritieke infrastruktuur is die afgelope jaar aan die toeneem. Die rede hiervoor is dat dit betreklik maklike teikens is.

Die grootste probleem met ICS-stelsels en kritieke infrastruktuur, soos spoorweë en kragsentrales, is dat die meeste gebou is voor kuberveiligheid. Baie hiervan het geen sekuriteitstelsels nie, en sommige ICS-stelsels het dit nog steeds nie. As hulle dan met sekuriteitstelsels toegerus word, is dit nie altyd maklik om te weet waar daar gate gelaat is nie. In werklikheid is baie ICS-stelsels byvoorbeeld vol kwesbaarhede.

Die bekendste aanval op kritieke infrastruktuur is in 2012 met behulp van die malware Stuxnet uitgevoer. Stuxnet is ‘n rekenaarwurm wat spesifiek op Programmeerbare Logika-beheerders (PLS’s) gemik is. Dit laat die outomatisering van industriële prosesse en prosesse toe om masjinerie te beheer.

Navorsers glo dat Stuxnet deur Amerikaanse en Israelse intelligensie ontwikkel is en gebruik is om ‘n Iraanse kernraffinadery aan te val. Dit het albei intelligensie versamel en duisende sentrifuga’s wat gebruik word om uraan te verryk, vernietig.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me