Iran epäillään eurooppalaisen energiayhtiön hakkeroinnista VPNoverview.com

Iranissa sijaitsevan valtion tukeman hakkerointiryhmän epäillään hakkeroituneen eurooppalaisen energiayhtiön. Ryhmän uskotaan käyttäneen hyökkäyksissään etäkäyttö Troijalaista (RAT) nimeltään PupyRAT.


Mikä on PupyRAT

Pupy on avoimen lähdekoodin RAT, joka on kirjoitettu pääasiassa python-muodossa ja joka antaa hyökkääjille täyden pääsyn uhrin järjestelmiin. Se on alustojen välinen haittaohjelma ja voi siten soluttaa useita alustoja, nimittäin Windows, Linux, OSX ja Android.

Etäkäyttö Troijalainen (RAT) on haittaohjelma, jonka avulla hakkerit voivat seurata ja hallita uhrin tietokonetta tai verkkoa. Se toimii kuin lailliset etäkäyttöohjelmat, joita tekninen tuki käyttää usein auttamaan asiakkaita tietokoneongelmissa.

Vaikka PupyRAT on avoimen lähdekoodin haittaohjelma, se liittyy pääasiassa Iranin valtion tukemiin hakkerointikampanjoihin. Se liittyy erityisesti APT 33: n valtion tukemaan hakkerointiryhmään. APT 33 on ollut mukana aikaisemmissa hyökkäyksissä energia-alan organisaatioille ympäri maailmaa.

Kuinka RAT otettiin käyttöön?

RAT-arvoja voidaan käyttää vain aiemmin vaarantuneissa järjestelmissä. Tässä tapauksessa tutkijat eivät tiedä miten PupyRAT on otettu käyttöön, mutta uskovat, että sitä levitettiin keihäshuijaushyökkäyksillä..

Keihäs phishing-hyökkäykset on suunnattu yhdelle vastaanottajalle eikä suurelle määrälle vastaanottajia, kuten normaalissa phishing-hyökkäyksissä. Tietoverkkorikolliset valitsevat kohteen organisaatiossa ja käyttävät sosiaalista mediaa ja muuta julkista tietoa saadakseen lisätietoja potentiaalisesta uhristaan. Sitten he valmistavat kyseiselle henkilölle räätälöityä väärennettyä sähköpostia.

Aikaisemmissa APT 33 -kampanjoissa hyökkääjät ovat valinneet potentiaalisen uhrin ja hankkineet heidän luottamuksensa ennen kuin lopulta lähettäneet heille haitallisen asiakirjan sähköpostitse. Näin ollen tutkijoiden mielestä on todennäköistä, että tässä tapauksessa käytettiin samaa käyttöönottomenetelmää.

Todisteet tunkeutumisesta energiayhtiöön

Tallennetun Tulevaisuuden Insikt-ryhmä kertoi eilen löytäneensä todisteita PupyRAT Command and Control (C2) -palvelimesta keskustelemasta postipalvelimen kanssa marraskuun lopusta 2019 loppuun 5. tammikuuta 2020 asti..

Insikt-ryhmän raportissa selitetään edelleen: “Vaikka metatiedot eivät yksinään vahvista kompromissia, arvioimme, että suuri määrä ja toistuvat viestit kohdennetusta postipalvelimesta PupyRAT C2: lle ovat riittäviä osoittamaan todennäköistä tunkeutumista.”

Postipalvelin kuului eurooppalaiseen energiasektorijärjestöön, joka koordinoi energialähteiden allokointia ja resurssointia Euroopassa. Organisaation roolin vuoksi tämä hyökkäys on erityisen kiinnostava, etenkin kun otetaan huomioon Iraniin liittyvän tunkeutumisen lisääntyminen energia-alan ICS-ohjelmistoihin.

Phil Neray, CyberX: n teollisen kyberturvallisuuden johtaja kommentoi: ”Kun otetaan huomioon Euroopan energiainfrastruktuurin laajat rajat ylittävät riippuvuudet, tämä näyttää olevan vastustajan strateginen siirto keskittyä keskitettyyn tavoitteeseen vaikuttaakseen useisiin maihin. Samanaikaisesti samanlainen kuin yhden keskuslähetysaseman hyökkäyksen strateginen arvo useiden etäasemien sijaan – kuten venäläiset uhkatoimijat tekivät Ukrainan vuoden 2016 verkkohyökkäyksessä verrattuna heidän vuoden 2015 hyökkäykseen. “

Hyökkääjien tavoitteet

Tutkijoiden mielestä tämä viimeisin energia-alan eurooppalaisia ​​yrityksiä koskeva hakkerointikampanja oli tiedustelupalvelu. Tehtävän uskotaan olevan suunnattu tärkeän tiedon keräämiseen energialaitosten prosesseista ja niiden teollisuuden ohjausjärjestelmistä (ICS). Hyökkääjät pyrkivät myös tunnistamaan heikkouksia yritysten prosesseissa ja kriittisessä infrastruktuurissa.

Recorded Future -yrityksen strategisen uhkan kehittämisjohtaja Priscilla Moriuchi selittää: ”Operaatioiden tai tuhoisten hyökkäysten salliminen vaatii tämän tyyppistä kuukausia kestävää tutustumista ja näkemystä näiden yritysten virkamiesten käyttäytymisestä ja ymmärrystä siitä, kuinka tietty kyky voi vaikuttaa tietoihin tai energianjakeluun. resursseja.”

Iranin kaltaisissa maissa, joiden epäillään sponsoroivan näitä hakkerointiryhmiä, tällaista tietoa voidaan käyttää vastustajia vastaan ​​konfliktitilanteissa. Tietoja voidaan käyttää käynnistämään kyberhyökkäykset halvaantumaan vastustajan tärkeimmät alat, kuten energia, vesi ja liikenne.

Tätä silmällä pitäen on mielenkiintoista huomata hakkerointikampanjan päivämäärät. Ne osoittavat, että hakkerointikampanja alkoi ennen geopoliittisia jännitteitä, jotka aiheuttivat Iranin kenraalin Qassem Soleimanin tappaminen. Tämän seurauksena tämä kyberhyökkäys ei voinut olla kostotoimenpide Soleimanin murhan vuoksi.

Aikaisemmat kriittisen infrastruktuurin hyökkäykset

Hyökkäykset ICS-järjestelmiin ja kriittiseen infrastruktuuriin ovat lisääntyneet viime vuosina. Syynä tähän on, että ne ovat suhteellisen helppoja kohteita.

ICS-järjestelmien ja kriittisen infrastruktuurin, kuten rautateiden ja voimalaitosten, pääongelma on, että suurin osa rakennettiin ennen kyberturvallisuuden huomioon ottamista. Monilla näistä ei ollut mitään turvajärjestelmiä, ja joillakin ICS-järjestelmillä ei vieläkään ole. Kun ne sitten varustetaan jälkikäteen turvajärjestelmillä, ei ole aina helppoa tietää, mihin aukot on jätetty. Itse asiassa esimerkiksi monet ICS-järjestelmät ovat täynnä haavoittuvuuksia.

Kuuluisin hyökkäys kriittiseen infrastruktuuriin tehtiin vuonna 2012 haittaohjelmalla Stuxnet. Stuxnet on tietokonemato, joka kohdistuu erityisesti ohjelmoitaviin logiikkaohjaimiin (PLC). Ne mahdollistavat teollisuusprosessien ja prosessien automatisoinnin koneiden ohjaamiseksi.

Tutkijoiden mielestä Amerikan ja Israelin tiedustelu kehitti Stuxnetin ja sitä hyökkäsivät Iranin ydinvoiman jalostamolle. Se keräsi tiedustelua ja tuhosi tuhansia sentrifugeja, joita käytettiin uraanin rikastamiseen.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me