Iran misstänkt för att ha hackat ett europeiskt energiföretag | VPNoverview.com

En statlig stödjad hackinggrupp baserad i Iran misstänks ha hackat ett europeiskt energiföretag. Gruppen tros ha använt en Remote Access Trojan (RAT) som heter PupyRAT i deras attack.


Vad är PupyRAT

Pupy är en RAT-kod med öppen källkod som huvudsakligen är skriven i python som kan ge angriparna full tillgång till offrens system. Det är en tvärplattform bit av malware och kan därmed infiltrera flera plattformar, nämligen Windows, Linux, OSX och Android.

En Trojan för fjärråtkomst (RAT) är skadlig programvara som gör det möjligt för hackare att övervaka och kontrollera offrets dator eller nätverk. Det fungerar som legitima fjärråtkomstprogram som ofta används av teknisk support för att hjälpa kunder med datorproblem.

Även om PupyRAT är en öppen källkod av skadlig programvara, är den främst kopplad till iranska statsstödda hackningskampanjer. Det är speciellt förknippat med APT 33-statlig hackad hacking-grupp. APT 33 har varit inblandade i tidigare attacker mot organisation inom energisektorn över hela världen.

Hur distribuerades RAT?

RATS kan bara distribueras på tidigare komprometterade system. I det här fallet vet forskare inte hur PupyRAT distribuerades men tror att den distribuerades via spjutfiskattacker.

Spear-phishing-attacker är inriktade på en enda mottagare snarare än ett stort antal mottagare som med vanliga phishing-attacker. Cybercriminals väljer ett mål inom en organisation och använder sociala medier och annan offentlig information för att lära sig mer om deras potentiella offer. De skapar sedan en falsk e-post som är skräddarsydd för den personen.

Tidigare APT 33-kampanjer har involverat angripare som valde ett potentiellt offer och fått sitt förtroende innan de så småningom skickade ett skadligt dokument via e-post. Följaktligen tror forskare att det är troligt att samma distributionsmetod användes i detta fall.

Bevis på intrång i energibolaget

Inspikt Future’s Insikt Group rapporterade igår att de hade hittat bevis på att en PupyRAT Command and Control (C2) -server chattar med en e-postserver från slutet av november 2019 till den 5 januari 2020.

Insikt Groups rapport fortsätter med att förklara att: “Även om metadata ensam inte bekräftar en kompromiss, bedömer vi att den höga volymen och upprepade kommunikationer från den riktade e-postservern till en PupyRAT C2 är tillräckliga för att indikera ett troligt intrång.”

E-postservern tillhörde en europeisk energisektororganisation som samordnade allokering och resurser för energiresurser i Europa. Med tanke på organisationens roll är denna attack av särskilt intresse, särskilt med tanke på ökningen av iranska kopplade intrång på energisektorns ICS-programvara.

Phil Neray, vd för industriell cybersecurity vid CyberX, kommenterade: ”Med tanke på de stora gränsöverskridande beroenden i den europeiska energinfrastrukturen verkar detta vara ett strategiskt drag av motståndaren att fokusera på ett centraliserat mål för att påverka flera länder vid samtidigt, liknande det strategiska värdet av att attackera en enda central transmissionsstation snarare än flera avlägsna stationer – som ryska hotaktörer gjorde i den ukrainska nätattacken 2016 jämfört med deras attack 2015. ”

Angriparnas mål

Forskare tror att den här senaste hackingkampanjen för europeiska företag inom energisektorn var ett åkallandeuppdrag. Uppdraget tros vara inriktat på att samla in viktig kunskap om energiverkets processer och deras industriella kontrollsystem (ICS). Angriparna ser också efter att identifiera svagheter i företagens processer och kritisk infrastruktur.

Priscilla Moriuchi, chef för strategisk hotutveckling på Record Future förklarar: ”Att möjliggöra operationer eller destruktiva attacker kräver denna typ av månader lång åkallande och insikt i beteenden hos tjänstemän i dessa företag och förstå hur en viss förmåga kan påverka information eller distribution av energi Resurser.”

För länder som Iran, som misstänks sponsra dessa hackgrupper, kan sådan kunskap användas mot motståndare i fall av konflikt. Informationen kan användas för att starta cyberattacker för att paralysera en motståndares nyckelsektorer, som kraft, vatten och transport.

Med detta i åtanke är det intressant att notera datumen för hackingkampanjen. Dessa indikerar att hackingkampanjen inleddes innan den geopolitiska spänningen orsakade av mordet på den iranska general Qassem Soleimani. Följaktligen kunde detta cyberattack inte ha varit en hämnd attack för Soleimanis mord.

Tidigare attacker mot kritisk infrastruktur

Attackerna på ICS-system och kritisk infrastruktur har ökat de senaste åren. Anledningen till detta är att det är relativt enkla mål.

Det största problemet med ICS-system och kritisk infrastruktur som järnvägar och kraftverk är att de flesta byggdes innan cybersäkerhet var en övervägande. Många av dessa hade inga säkerhetssystem och vissa ICS-system har det fortfarande inte. När de sedan är utrustade med säkerhetssystem är det inte alltid lätt att veta var hål har lämnats. Faktum är att många ICS-system, till exempel, är fulla av sårbarheter.

Den mest kända attacken mot kritisk infrastruktur genomfördes 2012 med skadlig kod Stuxnet. Stuxnet är en datormask som specifikt är inriktad på programmerbara logiska styrenheter (PLC). Dessa möjliggör automatisering av industriella processer och processer för att styra maskiner.

Forskare tror att Stuxnet utvecklades av amerikansk och israelisk underrättelse och användes för att attackera ett iransk kärnraffinaderi. Den samlade både intelligens och förstörde tusentals centrifuger som användes för att berika uran.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me