Iranas įtariamas įsilaužęs į Europos energetikos bendrovę | VPNoverview.com

Įtariama, kad Irane įsikūrusi valstybės remiama įsilaužėlių grupė įsilaužė į Europos energetikos bendrovę. Manoma, kad grupė puolime naudojo nuotolinės prieigos trojaną (RAT), vadinamą „PupyRAT“.


Kas yra „PupyRAT“

„Pupy“ yra atvirojo kodo RAT, daugiausia parašytas python’u, kuris gali suteikti užpuolikams visišką prieigą prie aukų sistemų. Tai yra keliose platformose esanti kenkėjiška programinė įranga ir todėl gali įsiskverbti į kelias platformas, būtent „Windows“, „Linux“, OSX ir „Android“.

Nuotolinės prieigos Trojos arklys (RAT) yra kenkėjiška programa, leidžianti įsilaužėliams stebėti ir valdyti aukos kompiuterį ar tinklą. Tai veikia kaip teisėtos nuotolinės prieigos programos, kurias dažnai naudoja techninė pagalba, kad padėtų klientams išspręsti kompiuterio problemas.

Nors „PupyRAT“ yra atvirojo kodo kenkėjiškų programų dalis, ji daugiausia susijusi su Irano valstybės remiamomis įsilaužimo kampanijomis. Tai ypač siejama su APT 33 valstybės remiama įsilaužimo grupe. „APT 33“ dalyvavo ankstesniuose išpuoliuose prieš organizacijas energetikos sektoriuje visame pasaulyje.

Kaip buvo dislokuota RAT?

RAT galima diegti tik tose sistemose, kurios anksčiau buvo pažeistos. Šiuo atveju tyrėjai nežino, kaip buvo įdiegtas „PupyRAT“, tačiau mano, kad jis buvo išplatintas per sukčiavimo sukčiavimo išpuolius.

Sukčiavimo sukčiavimo išpuoliai yra nukreipti į vieną gavėją, o ne į didelį gavėjų skaičių, kaip ir įprastų sukčiavimo apsimetant. Kibernetiniai nusikaltėliai pasirenka tikslą organizacijoje ir naudojasi socialine žiniasklaida bei kita vieša informacija norėdami sužinoti daugiau apie savo potencialią auką. Tada jie sukuria tam asmeniui skirtą suklastotą el. Laišką.

Ankstesnėse „APT 33“ kampanijose užpuolikai atrinko potencialią auką ir įgijo pasitikėjimo savimi, prieš tai galiausiai nusiųsdami jiems kenksmingą dokumentą el. Paštu. Todėl tyrėjai mano, kad greičiausiai šiuo atveju buvo naudojamas tas pats dislokavimo metodas.

Įsibrovimo į energetikos bendrovę įrodymai

Įrašyta ateities „Insikt“ grupė vakar pranešė, kad rado įrodymų, jog „PupyRAT“ komandos ir valdymo (C2) serveris kalbasi su pašto serveriu nuo 2019 m. Lapkričio pabaigos iki 2020 m. Sausio 5 d..

„Insikt Group“ ataskaitoje aiškinama, kad: „Nors vien tik metaduomenys nepatvirtina kompromiso, mes vertiname, kad pakankamo didelio tūrio ir pakartotinių ryšių iš tikslinio pašto serverio su„ PupyRAT C2 “, norint parodyti galimą įsiskverbimą“.

Pašto serveris priklausė Europos energetikos sektoriaus organizacijai, kuri koordinuoja energijos išteklių paskirstymą ir paskirstymą Europoje. Atsižvelgiant į organizacijos vaidmenį, šis išpuolis kelia ypatingą susidomėjimą, ypač atsižvelgiant į padidėjusį Irano įsibrovimą į energetikos sektoriaus ICS programinę įrangą..

Philas Neray, „CyberX“ pramoninio kibernetinio saugumo viceprezidentas, komentavo: „Atsižvelgiant į didelę Europos energetikos infrastruktūros tarpvalstybinę priklausomybę, atrodo, kad tai yra strateginis priešininko žingsnis sutelkti dėmesį į centralizuotą tikslą, siekiant paveikti kelias šalis. tuo pačiu metu, panašiai kaip strateginę vertę užpulti vieną centrinę perdavimo stotį, o ne kelias nuotolines pastotes – kaip Rusijos grėsmės veikėjai padarė 2016 m. Ukrainos tinklo atakoje, palyginti su 2015 m.

Užpuolikų tikslai

Tyrėjai mano, kad ši naujausia įsilaužimo į Europos energetikos sektoriaus įmones kampanija buvo žvalgybinė misija. Manoma, kad misija siekiama surinkti svarbių žinių apie energetinių augalų procesus ir jų pramoninio valdymo sistemas (ICS). Užpuolikai taip pat siekia nustatyti įmonių procesų ir kritinės infrastruktūros trūkumus.

Priscilla Moriuchi, „Recorded Future“ strateginės grėsmės plėtros direktorė, aiškina: „Įgalinant operacijas ar destruktyvius išpuolius reikia tokio pobūdžio mėnesių mėnesių žvalgybos ir įžvalgos apie šių įmonių pareigūnų elgesį ir supratimą, kaip tam tikri pajėgumai gali paveikti informaciją ar energijos paskirstymą. ištekliai. “

Tokioms šalims kaip Iranas, kurios įtariamos remiančios šias įsilaužimo grupes, tokios žinios gali būti panaudotos prieš priešus konfliktų atvejais. Ši informacija gali būti naudojama pradedant kibernetinius išpuolius, kad paralyžiuotų svarbiausius priešininko sektorius, tokius kaip energija, vanduo ir transportas..

Turint tai omenyje, įdomu pažymėti įsilaužimo kampanijos datas. Tai rodo, kad įsilaužimo kampanija buvo pradėta prieš geopolitinę įtampą, kurią sukėlė Irano generolo Qassemo Soleimani žudymas. Taigi šis kibernetinis išpuolis negalėjo būti atsakingasis Soleimani nužudymo išpuolis.

Ankstesni kritinės infrastruktūros išpuoliai

Pastaraisiais metais auga ICS sistemų ir ypatingos svarbos infrastruktūros objektų išpuoliai. Taip yra todėl, kad jie yra palyginti lengvi taikiniai.

Pagrindinė ICS sistemų ir ypatingos svarbos infrastruktūros, tokios kaip geležinkeliai ir elektrinės, problema yra ta, kad dauguma jų buvo pastatytos prieš pradedant svarstyti kibernetinį saugumą. Daugelyje iš jų nebuvo jokių saugos sistemų, o kai kuriose ICS sistemose vis dar nėra. Kai jie vėliau įrengiami su apsaugos sistemomis, ne visada lengva sužinoti, kur liko skylių. Iš tikrųjų, pavyzdžiui, daugelyje ICS sistemų yra trūkumų.

Garsiausias kritinės infrastruktūros išpuolis buvo surengtas 2012 m., Naudojant kenkėjišką programą „Stuxnet“. „Stuxnet“ yra kompiuterio kirminas, kuris konkrečiai skirtas programuojamiems loginiams valdikliams (PLC). Tai leidžia automatizuoti pramoninius procesus ir procesus, skirtus valdyti mašinas.

Tyrėjai mano, kad „Stuxnet“ sukūrė Amerikos ir Izraelio žvalgyba ir jis buvo panaudotas pulti Irano branduolinę perdirbimo gamyklą. Jis tiek rinko žvalgybą, tiek sunaikino tūkstančius centrifugų, naudojamų uranui praturtinti.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me