Iran osumnjičen za hakiranje europske energetske tvrtke | VPNoverview.com

Osumnjičeno je da je hakerska skupina podupirana od države sa sjedištem u Iranu hakirala europsku energetsku tvrtku. Smatra se da je skupina koristila Trojan s daljinskim pristupom (RAT) nazvan PupyRAT u svom napadu.


Što je PupyRAT

Pupy je open-source RAT napisan uglavnom na pythonu koji napadačima može pružiti potpun pristup žrtvenim sustavima. To je zlonamjerni softver na više platformi i na taj način može se infiltrirati na više platformi, naime Windows, Linux, OSX i Android.

Trojanski daljinski pristup (RAT) je zlonamjerni softver koji omogućuje hakerima nadzor i nadzor žrtve ili računala ili mreže. Djeluje kao legitimni programi za udaljeni pristup koji se često koriste tehničkom podrškom kako bi pomogli kupcima u problemima s računalom.

Iako je PupyRAT zlonamjerni softver otvorenog koda, uglavnom je povezan s iranskim hakerskim kampanjama koje podupire država. Posebno je povezan s skupinom hakiranja podupiranih od strane države APT 33. APT 33 sudjelovao je u prošlim napadima na organizaciju u energetskom sektoru širom svijeta.

Kako je raspoređen RAT?

RAT-ovi se mogu primijeniti samo na prethodno ugroženim sustavima. U ovom slučaju, istraživači ne znaju kako je PupyRAT bio raspoređen, ali vjeruju da je distribuiran napadima podmetanja kopljem.

Napadi pod krađanjem identiteta ciljaju na jednog primatelja, a ne na veliki broj primatelja kao kod uobičajenih phishing napada. Cyber-kriminalci biraju cilj unutar organizacije i koriste društvene medije i druge javne informacije kako bi saznali više o svojoj potencijalnoj žrtvi. Zatim izrađuju lažni email prilagođen toj osobi.

U prethodnim kampanjama APT 33 uključeni su napadači koji biraju potencijalnu žrtvu i stekli povjerenje prije nego što im na kraju pošalju zlonamjerni dokument putem e-pošte. Slijedom toga, istraživači vjeruju da je vjerovatno da je u ovom slučaju korištena ista metoda primjene.

Dokaz o prodoru u energetsku tvrtku

Insikt Group Recorded Future jučer je izvijestio da su pronašli dokaze da je PupyRAT poslužitelj za naredbe i kontrolu (C2) razgovarao s poslužiteljem pošte od kraja studenog 2019. do 5. siječnja 2020. godine..

Izvješće Insikt Grupe dalje objašnjava da: „Iako metapodaci sami ne potvrđuju kompromis, procjenjujemo da su velika glasnoća i ponovljena komunikacija s ciljanog poslužitelja pošte na PupyRAT C2 dovoljni da ukažu na moguću upad.“

Poslužitelj e-pošte pripadao je europskoj organizaciji energetskog sektora koja koordinira raspodjelu i resurse Energetskih resursa u Europi. S obzirom na ulogu organizacije, ovaj napad je od posebnog interesa, posebno imajući u vidu porast upletanja Irana u ICS softver energetskog sektora.

Phil Neray, potpredsjednik odjela industrijske kibernetičke sigurnosti u CyberX-u, komentirao je: „S obzirom na velike prekogranične ovisnosti europske energetske infrastrukture, čini se da je to protivnički strateški potez da se usredotoči na centralizirani cilj kako bi utjecao na više zemalja na u isto vrijeme, slično strateškoj vrijednosti napada na jednu središnju prijenosnu stanicu umjesto na više udaljenih trafostanica – kao što su to učinili ruski akteri prijetnji u napadu na ukrajinsku mrežu 2016. u odnosu na njihov napad 2015. “

Ciljevi napadača

Istraživači vjeruju da je ova zadnja hakerska kampanja za europske tvrtke u sektoru energetike bila izviđačka misija. Smatra se da je misija usmjerena na prikupljanje važnog znanja o procesima energetskih postrojenja i njihovim industrijskim upravljačkim sustavima (ICS). Napadači također nastoje prepoznati slabosti u procesima poduzeća i kritičnoj infrastrukturi.

Priscilla Moriuchi, direktor razvoja strateških prijetnji u Recorded Future, objašnjava: „Omogućavanje operacija ili destruktivnih napada zahtijeva ovu višemjesečnu izviđanje i uvid u ponašanje službenika ovih kompanija i razumijevanje kako određena sposobnost može utjecati na informacije ili distribuciju energije resursi.”

Za zemlje poput Irana, za koje se sumnja da su sponzorirale ove hakerske grupe, takvo se znanje može upotrijebiti protivnicima u sukobima. Te informacije mogu se upotrijebiti za pokretanje cyberatnih napada za paraliziranje ključnih sektora protivnika, kao što su snaga, voda i transport.

Imajući to u vidu, zanimljivo je zabilježiti datume hakerske kampanje. To ukazuje da je hakerska kampanja započela prije geopolitičke napetosti prouzročene ubojstvom iranskog generala Qassema Soleimanija. Prema tome, ovaj cyber-napad nije mogao biti odmazda napad za Soleimanijevo atentat.

Prethodni napadi na kritičnu infrastrukturu

Napadi na ICS sustavima i kritičnoj infrastrukturi u porastu su posljednjih godina. Razlog za to je što su oni relativno laka meta.

Glavni problem sa ICS sustavima i kritičnom infrastrukturom poput željeznica i elektrana je taj što je većina izgrađena prije nego što je kibernetska sigurnost bila razmatrana. Mnogi od njih nisu imali sigurnosne sustave, a neki ICS sustave još uvijek nemaju. Kada se nakon toga naknadno dodaju sigurnosni sustavi, nije uvijek lako znati gdje su rupe ostale. Zapravo, mnogi ICS sustavi, na primjer, puni su ranjivosti.

Najpoznatiji napad na kritičnu infrastrukturu izveden je 2012. godine pomoću zlonamjernog softvera Stuxnet. Stuxnet je računalni crv koji posebno cilja Programabilni logički kontroleri (PLC). Oni omogućuju automatizaciju industrijskih procesa i procesa za upravljanje strojevima.

Istraživači vjeruju da su Stuxnet razvili američka i izraelska obavještajna služba i korišten je za napad na iransku nuklearnu rafineriju. Oboje su prikupili inteligenciju i uništili tisuće centrifuga koje su se koristile za obogaćivanje urana.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map