Iran mistenkt for å hacke et europeisk energiselskap | VPNoverview.com

En statsstøttet hackinggruppe med base i Iran er mistenkt for å ha hacket et europeisk energiselskap. Gruppen antas å ha brukt en ekstern tilgang Trojan (RAT) kalt PupyRAT i deres angrep.


Hva er PupyRAT

Pupy er en open-source RAT skrevet hovedsakelig i python som kan gi angripere full tilgang til ofrenes systemer. Det er et kryssplattform stykke malware og kan dermed infiltrere flere plattformer, nemlig Windows, Linux, OSX og Android.

En ekstern tilgang Trojan (RAT) er skadelig programvare som lar hackere overvåke og kontrollere et offerets datamaskin eller nettverk. Det fungerer som legitime fjerntilgangsprogrammer som ofte brukes av teknisk support for å hjelpe kunder med datamaskinproblemer.

Selv om PupyRAT er en åpen kildekode med skadelig programvare, er den hovedsakelig knyttet til iranske statsstøttede hackingkampanjer. Det er spesielt assosiert med APT 33-statsstøttet hacking-gruppe. APT 33 har vært involvert i tidligere angrep på organisering i energisektoren over hele verden.

Hvordan ble RAT-distribuert?

RATS kan bare distribueres på tidligere kompromitterte systemer. I dette tilfellet vet ikke forskere hvordan PupyRAT ble distribuert, men tror det ble distribuert via spydfiskeangrep.

Spear-phishing-angrep er rettet mot en enkelt mottaker i stedet for stort antall mottakere som ved vanlige phishing-angrep. Cyberkriminelle velger et mål i en organisasjon og bruker sosiale medier og annen offentlig informasjon for å lære mer om sitt potensielle offer. De lager deretter en falsk e-post som er skreddersydd for den personen.

Tidligere APT 33-kampanjer har involvert angripere med å velge et potensielt offer og få tillit før de til slutt sendte dem et ondsinnet dokument via e-post. Følgelig mener forskere at det er sannsynlig at den samme distribusjonsmetoden ble brukt i dette tilfellet.

Bevis for inntrenging hos energiselskapet

Record Future’s Insikt Group rapporterte i går at de hadde funnet bevis på at en PupyRAT Command and Control (C2) server chatter med en postserver fra slutten av november 2019 til 5. januar 2020.

Insikt Groups rapport forklarer videre: “Selv om metadata alene ikke bekrefter et kompromiss, vurderer vi at det høye volumet og gjentatte kommunikasjoner fra den målrettede postserveren til en PupyRAT C2 er tilstrekkelig til å indikere en sannsynlig inntrenging.”

Mailserveren tilhørte en europeisk energisektororganisasjon som koordinerer allokering og ressursbruk av energiressurser i Europa. Gitt organisasjonens rolle, er dette angrepet av spesiell interesse, spesielt med tanke på økningen i iransk-koblede inntrenger på energisektorens ICS-programvare.

Phil Neray, administrerende direktør for industriell cybersecurity i CyberX, kommenterte: “Gitt de omfattende grenseoverskridende avhengighetene i den europeiske energiinfrastrukturen, ser dette ut til å være et strategisk grep fra motstanderen å fokusere på et sentralisert mål for å påvirke flere land ved samtidig, lik den strategiske verdien av å angripe en enkelt sentral transmisjonsstasjon i stedet for flere fjernstasjoner – som russiske trusselaktører gjorde i det ukrainske nettangrepet 2016 sammenlignet med deres angrep i 2015. ”

Angripernes mål

Forskere mener at denne siste hackingkampanjen for europeiske selskaper i energisektoren var et rekognoseringsoppdrag. Oppdraget antas å være rettet mot å samle viktig kunnskap om energianleggers prosesser og deres Industrial Control Systems (ICS). Angriperne ser også ut til å identifisere svakheter i selskapenes prosesser og kritiske infrastruktur.

Priscilla Moriuchi, direktør for strategisk trusselutvikling hos Record Future, forklarer: “Å aktivere operasjoner eller destruktive angrep tar denne typen måneder lang rekognosering og innsikt i atferden til tjenestemenn i disse selskapene og forstå hvordan en viss evne kan påvirke informasjon eller distribusjon av energi. ressurser.”

For land som Iran, som mistenkes for å ha sponset disse hackinggruppene, kan slik kunnskap brukes mot motstandere i tilfeller av konflikt. Informasjonen kan brukes til å starte cyberattacks for å lamme en motstanders nøkkel sektorer, for eksempel strøm, vann og transport.

Med dette i bakhodet er det interessant å merke datoene for hackingkampanjen. Disse indikerer at hackingkampanjen startet før den geopolitiske spenningen forårsaket av drapet på den iranske general Qassem Soleimani. Følgelig kunne ikke dette nettangrepet ha vært et gjengjeldelsesangrep for Soleimanis attentat.

Tidligere angrep på kritisk infrastruktur

Angrep på ICS-systemer og kritisk infrastruktur har vært på vei opp de siste årene. Årsaken til dette er at de er relativt enkle mål.

Hovedproblemet med ICS-systemer og kritisk infrastruktur som jernbaner og kraftverk er at de fleste ble bygget før cybersikkerhet var en vurdering. Mange av disse hadde ingen sikkerhetssystemer, og noen ICS-systemer har det fortsatt ikke. Når de deretter utstyres med sikkerhetssystemer, er det ikke alltid like lett å vite hvor det har blitt igjen hull. Faktisk er mange ICS-systemer, for eksempel, fulle av sårbarheter.

Det mest kjente angrepet på kritisk infrastruktur ble utført i 2012 ved bruk av skadelig programvare Stuxnet. Stuxnet er en datamaskine som spesifikt retter seg mot Programmable Logic Controllers (PLCs). Disse tillater automatisering av industrielle prosesser og prosesser for å kontrollere maskiner.

Forskere mener at Stuxnet ble utviklet av amerikansk og israelsk etterretning og ble brukt til å angripe et iransk atomraffinaderi. Den samlet både intelligens og ødela tusenvis av sentrifuger som ble brukt til å berike uran.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me