Iran mistænkt for at hacking et europæisk energifirma | VPNoverview.com

En statsstøttet hackinggruppe med base i Iran mistænkes for at have hacket et europæisk energiselskab. Det antages, at gruppen har brugt en Remote Access Trojan (RAT) kaldet PupyRAT i deres angreb.


Hvad er PupyRAT

Pupy er en open-source RAT skrevet hovedsageligt i python, der kan give angribere fuld adgang til ofrenes systemer. Det er et tværsat platform stykke malware og kan således infiltrere flere platforme, nemlig Windows, Linux, OSX og Android.

En Remote Access Trojan (RAT) er malware, der giver hackere mulighed for at overvåge og kontrollere et offer’s computer eller netværk. Det fungerer som legitime fjernadgangsprogrammer, der ofte bruges af teknisk support til at hjælpe kunder med computerproblemer.

Selvom PupyRAT er et open source stykke malware, er det hovedsageligt forbundet med iranske statsstøttede hackingkampagner. Det er især forbundet med APT 33-statsstøttet hacking-gruppe. APT 33 har været involveret i tidligere angreb på organisation i energisektoren over hele verden.

Hvordan blev RAT implementeret?

RATs kan kun anvendes på tidligere kompromitterede systemer. I dette tilfælde ved forskerne ikke, hvordan PupyRAT blev anvendt, men mener, at den blev distribueret via spyd-phishing-angreb.

Spear-phishing-angreb er rettet mod en enkelt modtager snarere end et stort antal modtagere som ved normale phishing-angreb. Cyberkriminelle vælger et mål i en organisation og bruger sociale medier og anden offentlig information til at lære mere om deres potentielle offer. De laver derefter en falsk e-mail, der er skræddersyet til denne person.

Tidligere APT 33-kampagner har involveret angribere ved at vælge et potentielt offer og få deres tillid, inden de til sidst sendte et ondsindet dokument via e-mail. Derfor mener forskere, at det er sandsynligt, at den samme implementeringsmetode blev brugt i dette tilfælde.

Bevis for indtrængen hos energiselskabet

Record Future’s Insikt Group rapporterede i går, at de havde fundet bevis for, at en PupyRAT Command and Control (C2) -server, der chatte med en mailserver fra slutningen af ​​november 2019 til den 5. januar 2020.

Insikt Groups rapport fortsætter med at forklare, at: “Mens metadata alene ikke bekræfter et kompromis, vurderer vi, at det høje volumen og gentagne kommunikationer fra den målrettede mailserver til en PupyRAT C2 er tilstrækkelige til at indikere en sandsynlig indtrængen.”

Mailserveren tilhørte en europæisk energisektororganisation, der koordinerer allokering og ressourcefordeling af energiressourcer i Europa. I betragtning af organisationens rolle er dette angreb af særlig interesse, især i betragtning af stigningen i iransk-forbundet indtrængen på ICS-software til energisektoren.

Phil Neray, VP for industriel cybersecurity hos CyberX, kommenterede: ”I betragtning af de omfattende grænseoverskridende afhængigheder i den europæiske energiinfrastruktur ser dette ud til at være et strategisk skridt fra modstanderen til at fokusere på et centraliseret mål for at påvirke flere lande ved samme tid som den strategiske værdi af at angribe en enkelt central transmission station snarere end flere fjernstationer – som russiske trusselaktører gjorde i det ukrainske netangreb i 2016 sammenlignet med deres angreb i 2015. ”

Angribernes mål

Forskere mener, at denne seneste hackingkampagne for europæiske virksomheder i energisektoren var en rekognoseringsmission. Missionen antages at være rettet mod at indsamle vigtig viden om energianlægs processer og deres Industrial Control Systems (ICS). Angriberne ser også ud til at identificere svagheder i virksomheders processer og kritiske infrastrukturer.

Priscilla Moriuchi, direktør for strategisk trusseludvikling hos Record Future, forklarer: ”At aktivere operationer eller destruktive angreb tager denne type måneder lang rekognosering og indsigt i embedsmænds adfærd hos disse virksomheder og forstå, hvordan en bestemt kapacitet kan påvirke information eller distribution af energi ressourcer ”.

For lande som Iran, der mistænkes for at sponsorere disse hackinggrupper, kan sådan viden bruges mod modstandere i tilfælde af konflikter. Oplysningerne kan bruges til at starte cyberattacks for at lamme en modstanders nøglesektorer, såsom strøm, vand og transport.

Med dette i tankerne er det interessant at bemærke datoen for hackingkampagnen. Disse indikerer, at hackingkampagnen startede inden den geopolitiske spænding forårsaget af drab på den iranske general Qassem Soleimani. Følgelig kunne dette cyberattack ikke have været et gengældelsesangreb for Soleimanis mord.

Tidligere angreb på kritisk infrastruktur

Angreb på ICS-systemer og kritisk infrastruktur har været stigende i de senere år. Årsagen til dette er, at de er relativt lette mål.

Det største problem med ICS-systemer og kritisk infrastruktur som jernbaner og kraftværker er, at de fleste blev bygget før cybersikkerhed var en overvejelse. Mange af disse havde ikke nogen sikkerhedssystemer, og nogle ICS-systemer har det stadig ikke. Når de derefter udstyres med sikkerhedssystemer, er det ikke altid nemt at vide, hvor der er tilbage huller. Faktisk er mange ICS-systemer, for eksempel, fulde af sårbarheder.

Det mest berømte angreb på kritisk infrastruktur blev udført i 2012 ved hjælp af malware Stuxnet. Stuxnet er en computerorm, der specifikt er rettet mod programmerbare logiske controllere (PLC’er). Disse tillader automatisering af industrielle processer og processer til kontrol af maskiner.

Forskere mener, at Stuxnet blev udviklet af amerikansk og israelsk efterretning og blev brugt til at angribe et iransk nuklearraffinaderi. Det indsamlede både intelligens og ødelagde tusinder af centrifuger, der blev brugt til at berige uran.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me