Írán podezřelý z hackování evropské energetické společnosti VPNoverview.com

Státem podporovaná hackerská skupina se sídlem v Íránu je podezřelá z napadení evropské energetické společnosti. Předpokládá se, že skupina při útoku použila trojan Remote Access (RAT) s názvem PupyRAT.


Co je PupyRAT

Pupy je open-source RAT napsaný hlavně v pythonu, který může útočníkům poskytnout plný přístup k systémům obětí. Jedná se o škodlivý software napříč platformami a může tak proniknout do několika platforem, konkrétně do Windows, Linux, OSX a Android.

Trojan pro vzdálený přístup (RAT) je malware, který hackerům umožňuje sledovat a ovládat počítač nebo síť oběti. Funguje to jako legitimní programy vzdáleného přístupu, které jsou často využívány technickou podporou, aby pomohly zákazníkům s problémy s počítačem.

Přestože je PupyRAT otevřeným zdrojem malwaru, je spojen hlavně s íránskými hackerskými kampaněmi podporovanými státem. Je spojen se státem hackovanou skupinou APT 33. APT 33 byly zapojeny do minulých útoků na organizaci v energetickém sektoru po celém světě.

Jak bylo nasazeno RAT?

RAT lze nasadit pouze na dříve kompromitované systémy. V tomto případě vědci nevědí, jak byl PupyRAT nasazen, ale věří, že byl distribuován pomocí útoků typu phishing.

Útoky s kopií phishingu jsou zaměřeny spíše na jednoho příjemce, než na velký počet příjemců, jako u běžných útoků typu phishing. Kybernetičtí činitelé si v rámci organizace vybírají cíl a využívají sociální média a další veřejné informace, aby se dozvěděli více o své potenciální oběti. Poté vytvořili falešný e-mail přizpůsobený této osobě.

Předchozí kampaně APT 33 zahrnovaly útočníky, kteří vybrali potenciální oběť a získali její důvěru, než jim nakonec e-mailem poslali škodlivý dokument. V důsledku toho se vědci domnívají, že je pravděpodobné, že v tomto případě byla použita stejná metoda rozmístění.

Důkaz o narušení energetické společnosti

Skupina Insikt společnosti Recordict Future včera oznámila, že našla důkazy o chatování serveru PupyRAT Command and Control (C2) s poštovním serverem od konce listopadu 2019 do 5. ledna 2020.

Zpráva Insikt Group dále vysvětluje, že „metadata sama o sobě nepotvrzují kompromis, ale zjišťujeme, že vysoký objem a opakovaná komunikace z cílového poštovního serveru do PupyRAT C2 jsou dostatečné k označení pravděpodobného narušení.“

Poštovní server patřil k evropské organizaci energetického sektoru, která koordinuje přidělování a zdroje energetických zdrojů v Evropě. Vzhledem k roli organizace je tento útok obzvláště zajímavý, zejména s ohledem na nárůst íránských útoků na software ICS v odvětví energetiky.

Phil Neray, viceprezident průmyslové kybernetické bezpečnosti v CyberX, uvedl: „Vzhledem k rozsáhlým přeshraničním závislostem v celé evropské energetické infrastruktuře se zdá, že protivník je strategickým krokem zaměřit se na centralizovaný cíl, aby ovlivnil více zemí na současně, podobně jako strategická hodnota útoku na jednu centrální přenosovou stanici, spíše než na několik vzdálených rozvoden – jako to v případě ruských aktérů hrozby v případě útoku na ukrajinskou síť v roce 2016 ve srovnání s jejich útokem v roce 2015 “

Cíle útočníků

Vědci se domnívají, že tato nejnovější hackerská kampaň o evropských společnostech v odvětví energetiky byla průzkumnou misí. Předpokládá se, že mise je zaměřena na shromažďování důležitých znalostí o procesech energetických rostlin a jejich průmyslových kontrolních systémech (ICS). Útočníci se také snaží odhalit slabiny procesů a kritické infrastruktury společností.

Priscilla Moriuchi, ředitelka rozvoje strategických hrozeb v Recorded Future, vysvětluje: „Povolení operací nebo destruktivních útoků bere tento typ měsíčního průzkumu a vhled do chování úředníků v těchto společnostech a pochopení toho, jak by určitá schopnost mohla ovlivnit informace nebo distribuci energie. zdroje.”

Pro země, jako je Írán, které jsou podezřelé ze sponzorování těchto hackerských skupin, mohou být tyto znalosti použity v případě konfliktu proti protivníkům. Tyto informace lze použít ke spuštění kybernetických útoků k ochromení klíčových sektorů protivníka, jako jsou energetika, voda a doprava.

S ohledem na to je zajímavé poznamenat si data hackerské kampaně. To naznačuje, že hackerská kampaň začala před geopolitickým napětím způsobeným zabitím íránského generála Qassema Soleimaniho. V důsledku toho nemohl být tento kybernetický útok odvetným útokem na Soleimaniho vraždu.

Předchozí útoky na kritickou infrastrukturu

Útoky na systémy ICS a kritická infrastruktura v posledních letech rostou. Důvodem je to, že se jedná o poměrně snadné cíle.

Hlavním problémem systémů ICS a kritické infrastruktury, jako jsou železnice a elektrárny, je to, že většina z nich byla postavena před zvážením kybernetické bezpečnosti. Mnoho z nich nemělo žádné bezpečnostní systémy a některé systémy ICS stále ještě nemají. Když jsou následně vybaveny bezpečnostními systémy, není vždy snadné zjistit, kde byly ponechány díry. Mnoho systémů ICS je ve skutečnosti například zranitelných.

Nejznámější útok na kritickou infrastrukturu byl proveden v roce 2012 pomocí malwaru Stuxnet. Stuxnet je počítačový červ, který se konkrétně zaměřuje na programovatelné logické řadiče (PLC). Umožňují automatizaci průmyslových procesů a procesů pro řízení strojů.

Vědci se domnívají, že Stuxnet byl vyvinut americkou a izraelskou inteligencí a byl použit k útoku na íránskou jadernou rafinérii. Shromažďovala inteligenci a zničila tisíce odstředivek používaných k obohacování uranu.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map