Iraan, keda kahtlustatakse Euroopa energiaettevõtte häkkimises | VPNoverview.com

Iraanis asuvat riigi toetatud häkkimisrühma kahtlustatakse Euroopa energiaettevõtte häkkimises. Arvatakse, et rühmitus kasutas oma rünnakus kaugjuurdepääsu Troojat (RAT) nimega PupyRAT.


Mis on PupyRAT?

Pupy on peamiselt python’is kirjutatud avatud lähtekoodiga RAT, mis võimaldab ründajatel ohvrite süsteemidele täieliku juurdepääsu. See on platvormideülene pahavara ja võib seega tungida mitmesse platvormi, nimelt Windowsi, Linuxi, OSXi ja Androidi.

Remote Access Trojan (RAT) on pahavara, mis võimaldab häkkeritel jälgida ja kontrollida ohvri arvutit või võrku. See toimib nagu seaduslikud kaugjuurdepääsuprogrammid, mida tehniline tugi kasutab sageli klientide abistamiseks arvutiprobleemide lahendamisel.

Kuigi PupyRAT on avatud lähtekoodiga pahavara, on see seotud peamiselt Iraani riigi toetatud häkkimiskampaaniatega. Eriti seostatakse seda APT 33 osariigi toetatud häkkimisrühmaga. APT 33 on olnud seotud varasemate rünnakutega energeetikasektori organisatsioonide vastu kogu maailmas.

Kuidas RATi tööle võeti??

RAT-e saab kasutada ainult varem kahjustatud süsteemides. Sel juhul ei tea teadlased, kuidas PupyRAT juurutati, kuid usuvad, et seda levitati odamisrünnakute kaudu.

Otsepüügirünnakud on suunatud ühele adressaadile, mitte suurele hulgale adressaatidele, nagu tavaliste andmepüügirünnakute korral. Küberkurjategijad valivad organisatsioonis sihtmärgi ja kasutavad oma võimaliku ohvri kohta lisateabe saamiseks sotsiaalmeediat ja muud avalikku teavet. Seejärel meisterdavad nad sellele inimesele kohandatud võltsmeili.

Varasemad APT 33 kampaaniad hõlmasid ründajad potentsiaalse ohvri valimist ja nende usalduse omandamist, enne kui nad lõpuks e-posti teel neile pahatahtliku dokumendi saatsid. Järelikult usuvad teadlased, et on tõenäoline, et antud juhul kasutati sama juurutamismeetodit.

Tõendid energiaettevõtte sissetungimise kohta

Salvestatud Tuleviku grupp Insikt teatas eile, et nad on leidnud tõendeid PupyRAT Command and Control (C2) serveri vestluse kohta meiliserveriga 2019. aasta novembri lõpust kuni 5. jaanuarini 2020.

Insikt Grupi aruandes selgitatakse järgmist: “Ehkki metaandmed üksi ei kinnita kompromissi, leiame, et tõenäoline sissetungimise märkimiseks piisab suurest mahust ja korduvast kommunikatsioonist sihitud e-posti serverilt PupyRAT C2-le.”

Postiserver kuulus Euroopa energiasektori organisatsioonile, mis koordineerib energiaallikate jaotamist ja varustamist Euroopas. Organisatsiooni rolli arvestades on see rünnak erilist huvi, eriti arvestades Iraaniga seotud sissetungide suurenemist energiasektori ICS-i tarkvarasse.

Phil Neray, CyberXi tööstusliku küberjulgeoleku asepresident, kommenteeris: „Arvestades Euroopa energeetika infrastruktuuri ulatuslikke piiriüleseid sõltuvusi, näib see olevat vastase strateegiline samm keskenduda tsentraliseeritud eesmärgile, et mõjutada mitut riiki. samal ajal, sarnaselt strateegilise väärtusega rünnata ühte keskset ülekandejaama, mitte mitut kaugjaamajaama – nagu Venemaa ohuolijad tegid 2016. aasta Ukraina võrgurünnakus võrreldes oma 2015. aasta rünnakuga. ”

Ründajate eesmärgid

Teadlaste arvates oli see viimane energeetikasektori Euroopa ettevõtteid käsitlev häkkimiskampaania tutvumismissioon. Usutakse, et missiooni eesmärk on koguda olulisi teadmisi energiajaamade protsessidest ja nende tööstuslikest juhtimissüsteemidest (ICS). Ründajad otsivad ka nõrku kohti ettevõtete protsessides ja kriitilises infrastruktuuris.

Ettevõtte Recorded Future strateegiliste ohtude arendamise direktor Priscilla Moriuchi selgitab: „Operatsioonide või hävitavate rünnakute lubamine nõuab seda tüüpi kuudepikkust tutvumist ja ülevaadet nende ettevõtete ametnike käitumisest ning mõistmist, kuidas teatud võime võib mõjutada teavet või energia jaotust ressursse. ”

Iraani-suguste riikide puhul, keda kahtlustatakse nende häkkimisrühmade sponsorluses, saab selliseid teadmisi konfliktide korral kasutada vastaste vastu. Seda teavet saab kasutada küberrünnakute algatamiseks, et halvata vastase võtmesektoreid, nagu energia, vesi ja transport.

Seda silmas pidades on huvitav märkida häkkimiskampaania kuupäevi. Need näitavad, et häkkimiskampaania algas enne Iraani kindrali Qassem Soleimani tapmise põhjustatud geopoliitilisi pingeid. Järelikult ei saanud see küberrünnak olla Soleimani mõrva vastulöögiks.

Kriitilise infrastruktuuri varasemad rünnakud

Rünnakud ICS-süsteemide ja kriitilise infrastruktuuri vastu on viimastel aastatel kasvanud. Põhjus on see, et need on suhteliselt lihtsad eesmärgid.

ICS-süsteemide ja sellise kriitilise infrastruktuuri nagu raudteede ja elektrijaamade peamine probleem on see, et enamik neist ehitati enne küberturbe kaalumist. Paljudel neist polnud turvasüsteeme ja mõnel ICS-süsteemil seda endiselt pole. Kui need seejärel turvasüsteemidega moderniseeritakse, pole alati lihtne teada saada, kuhu auke on jäetud. Tegelikult on näiteks paljud ICS-süsteemid haavatavusi täis.

Kõige kuulsam rünnak kriitilise infrastruktuuri vastu toimus 2012. aastal pahavara Stuxnet abil. Stuxnet on arvuti uss, mis on konkreetselt suunatud programmeeritavatele loogikakontrolleritele (PLC). Need võimaldavad automatiseerida tööstuslikke protsesse ja masinate juhtimiseks vajalikke protsesse.

Teadlaste arvates töötas Stuxneti välja Ameerika ja Iisraeli luure ning seda kasutati Iraani tuumarafineerimistehase ründamiseks. See kogus nii luureandmeid kui hävitas tuhandeid uraani rikastamiseks kasutatud tsentrifuuge.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map