Irán je podozrivý z hackovania európskej energetickej spoločnosti VPNoverview.com

Hackerská skupina podporovaná štátom so sídlom v Iráne je podozrivá z hackerstva na európsku energetickú spoločnosť. Skupina verí, že pri útoku použila trojan Remote Access (RAT) s názvom PupyRAT.


Čo je PupyRAT

Pupy je RAT s otvoreným zdrojom, ktorý je napísaný hlavne v pythone a ktorý útočníkom môže poskytnúť úplný prístup k systémom obetí. Je to škodlivý softvér naprieč platformami, a preto môže preniknúť do viacerých platforiem, konkrétne do systémov Windows, Linux, OSX a Android.

Trojan pre vzdialený prístup (RAT) je malware, ktorý hackerom umožňuje sledovať a kontrolovať počítač alebo sieť obete. Funguje to ako legitímne programy vzdialeného prístupu, ktoré sa často používajú pri technickej podpore, aby pomohli zákazníkom pri riešení problémov s počítačom.

Aj keď je PupyRAT otvoreným zdrojom škodlivého softvéru, je spojený najmä s iránskymi hackerskými kampaňami podporovanými štátom. Je spojená najmä so skupinou hackerov podporovanou štátom APT 33. APT 33 sa zapojilo do minulých útokov na organizáciu v energetickom sektore na celom svete.

Aké bolo nasadenie RAT?

RAT je možné nasadiť iba na predtým kompromitované systémy. V tomto prípade vedci nevedia, ako bol systém PupyRAT nasadený, ale veria, že bol distribuovaný prostredníctvom útokov typu phishing..

Útoky typu phishing s cieľom neoprávneného získavania údajov sú zamerané skôr na jedného príjemcu ako na veľký počet príjemcov, ako pri bežných útokoch typu phishing. Počítačoví zločinci si v rámci organizácie vyberajú cieľ a využívajú sociálne médiá a ďalšie verejné informácie, aby sa dozvedeli viac o svojej potenciálnej obeti. Potom vytvoria falošný e-mail prispôsobený tejto osobe.

Predchádzajúce kampane APT 33 zahŕňali útočníkov, ktorí si vybrali potenciálnu obeť a získali si dôveru pred tým, ako im nakoniec poslali nebezpečný dokument e-mailom. Vedci sa preto domnievajú, že je pravdepodobné, že v tomto prípade bola použitá rovnaká metóda nasadenia.

Dôkazy o vniknutí do energetickej spoločnosti

Skupina Insikt spoločnosti Recordict Future včera oznámila, že našli dôkazy o tom, že server PupyRAT Command and Control (C2) chatuje s poštovým serverom od konca novembra 2019 do 5. januára 2020..

V správe spoločnosti Insikt Group sa ďalej vysvetľuje: „Aj keď samotné metaúdaje nepotvrdzujú kompromis, usudzujeme, že vysoký objem a opakovaná komunikácia z cieľového poštového servera na PupyRAT C2 sú dostatočné na označenie pravdepodobného narušenia.“

Poštový server patril k európskej organizácii v energetickom sektore, ktorá koordinuje prideľovanie a zdroje energetických zdrojov v Európe. Vzhľadom na úlohu organizácie je tento útok osobitne zaujímavý, najmä vzhľadom na nárast útokov Iránu na softvér ICS v sektore energetiky..

Phil Neray, viceprezident priemyselnej kybernetickej bezpečnosti v spoločnosti CyberX, uviedol: „Vzhľadom na rozsiahle cezhraničné závislosti v celej európskej energetickej infraštruktúre sa protivník javí ako strategický krok zamerať sa na centralizovaný cieľ s cieľom ovplyvniť viaceré krajiny na v rovnakom čase, podobne ako strategická hodnota útoku na jednu centrálnu prenosovú stanicu namiesto viacerých vzdialených staníc – ako ruskí aktéri hrozieb v prípade útoku na ukrajinskú sieť v roku 2016 v porovnaní s útokom na rok 2015. “

Ciele útočníkov

Vedci sa domnievajú, že táto najnovšia hackerská kampaň o európskych spoločnostiach v odvetví energetiky bola prieskumnou misiou. Úlohou misie je zhromaždiť dôležité poznatky o procesoch energetických elektrární a ich priemyselných kontrolných systémoch (ICS). Útočníci sa tiež snažia zistiť slabé stránky procesov a kritickej infraštruktúry spoločností.

Priscilla Moriuchi, riaditeľka rozvoja strategických hrozieb v spoločnosti Recorded Future, vysvetľuje: „Umožnenie operácií alebo deštruktívnych útokov vyžaduje tento typ mesačného prieskumu a nahliadnutia do správania úradníkov v týchto spoločnostiach a pochopenia toho, ako by určitá schopnosť mohla ovplyvniť informácie alebo distribúciu energie. prostriedkami. “

V prípade krajín, ako je Irán, ktoré sú podozrivé zo sponzorovania týchto hackerských skupín, sa tieto znalosti môžu v prípade konfliktu použiť proti protivníkom. Tieto informácie môžu byť použité na spustenie kybernetických útokov na ochromenie kľúčových sektorov protivníka, ako sú energetika, voda a doprava.

V tejto súvislosti je zaujímavé poznamenať dátumy hackerskej kampane. Naznačujú to, že hackerská kampaň sa začala pred geopolitickým napätím spôsobeným vraždou iránskeho generála Qassema Soleimaniho. Tento kybernetický útok preto nemohol byť odvetným útokom na Soleimanskú vraždu.

Predchádzajúce útoky na kritickú infraštruktúru

Útoky na systémy ICS a kritická infraštruktúra v posledných rokoch stúpajú. Dôvodom je skutočnosť, že ide o pomerne ľahké ciele.

Hlavným problémom so systémami ICS a kritickou infraštruktúrou, ako sú železnice a elektrárne, je to, že väčšina bola vybudovaná pred zvážením kybernetickej bezpečnosti. Mnohé z nich nemali žiadne bezpečnostné systémy a niektoré systémy ICS stále ešte neexistujú. Keď sú potom vybavené bezpečnostnými systémami, nie je vždy ľahké vedieť, kde ešte zostali otvory. Napríklad veľa systémov ICS je v skutočnosti veľa zraniteľných miest.

Najznámejší útok na kritickú infraštruktúru sa uskutočnil v roku 2012 pomocou škodlivého softvéru Stuxnet. Stuxnet je počítačový červ, ktorý sa špecificky zameriava na programovateľné logické radiče (PLC). Tieto umožňujú automatizáciu priemyselných procesov a procesov na riadenie strojov.

Vedci sa domnievajú, že Stuxnet bol vyvinutý americkou a izraelskou spravodajskou službou a bol použitý na útok na iránsku jadrovú rafinériu. Zhromaždil inteligenciu a zničil tisíce odstrediviek používaných na obohacovanie uránu.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map