Иран е заподозрян в хакерство на европейска енергийна компания | VPNoverview.com

Държавна подкрепяна хакерска група със седалище в Иран се подозира, че е хакнала европейска енергийна компания. Смята се, че групата е използвала троянец за отдалечен достъп (RAT), наречен PupyRAT в атаката си.


Какво е PupyRAT

Pupy е RAT с отворен код, написан главно на python, който може да даде на нападателите пълен достъп до системите на жертвите. Това е многоплатформен зловреден софтуер и по този начин може да проникне в множество платформи, а именно Windows, Linux, OSX и Android.

Trojan на отдалечен достъп (RAT) е зловреден софтуер, който позволява на хакерите да наблюдават и контролират компютъра или мрежата на жертвата. Той работи като законни програми за отдалечен достъп, често използвани от техническа поддръжка, за да помогнат на клиентите с компютърни проблеми.

Въпреки че PupyRAT е злонамерен софтуер с отворен код, той е свързан главно с харански държавни хакерски кампании. Той е особено асоцииран с подкрепената от държавата хакерска група APT 33. APT 33 са участвали в минали атаки срещу организации в енергийния сектор по целия свят.

Как беше внедрен RAT?

RATs могат да бъдат внедрени само на компрометирани преди това системи. В този случай изследователите не знаят как е внедрен PupyRAT, но вярват, че той е разпространен чрез атаки с фишинг на копие.

Атаки с фишинг атаки са насочени към един получател, а не към голям брой получатели, както при нормални фишинг атаки. Киберпрестъпниците избират цел в една организация и използват социалните медии и друга обществена информация, за да научат повече за потенциалната си жертва. След това изработват фалшив имейл, пригоден за този човек.

Предишните кампании на APT 33 включват нападатели, избиращи потенциална жертва и спечелвайки доверието им, преди в крайна сметка да им изпратят злонамерен документ по имейл. Следователно, изследователите смятат, че е вероятно в този случай да е използван същия метод на внедряване.

Доказателство за проникването в енергийната компания

Insikt Group на Recorded Future съобщи вчера, че са открили доказателства за сървър на PupyRAT за командване и управление (C2) в чат с пощенски сървър от края на ноември 2019 г. до 5 януари 2020 г..

Докладът на Insikt Group продължава да обяснява, че: „Докато метаданните сами по себе си не потвърждават компромис, ние оценяваме, че големият обем и многократните комуникации от целевия пощенски сървър до PupyRAT C2 са достатъчни, за да показват вероятна проникване.“

Пощенският сървър принадлежеше на европейска организация в енергийния сектор, която координира разпределението и ресурсите на енергийните ресурси в Европа. Като се има предвид ролята на организацията, тази атака е от особен интерес, особено като се има предвид увеличаването на свързаните с Иран прониквания в софтуера ICS за енергийния сектор.

Фил Нерай, вицепрезидент по индустриалната киберсигурност в CyberX, коментира: „Като се има предвид обширната трансгранична зависимост в цялата европейска енергийна инфраструктура, това изглежда е стратегически ход на противника да се съсредоточи върху централизирана цел, за да повлияе на много страни в в същото време, подобно на стратегическата стойност за нападение на една централна преносна станция, а не на множество отдалечени подстанции – както руските участници в заплахата направиха украинската атака на мрежата през 2016 г. в сравнение с тяхната атака през 2015 г. “

Целите на нападателите

Изследователите смятат, че тази последна хакерска кампания за европейските компании в енергийния сектор беше разузнавателна мисия. Смята се, че мисията е насочена към събиране на важни знания за процесите на енергийните централи и техните индустриални системи за контрол (ICS). Нападателите също така искат да идентифицират слабостите в процесите на компаниите и критичната инфраструктура.

Присила Мориучи, директор на стратегическото развитие на заплахата от Recorded Future, обяснява: „Разрешаването на операции или разрушителни атаки отнема този тип месеци на разузнаване и вникване в поведението на длъжностните лица в тези компании и разбиране как определена способност може да повлияе на информацията или разпределението на енергия ресурси “.

За страни като Иран, за които се подозира, че са спонсорирали тези хакерски групи, такива знания могат да се използват срещу противници в случаи на конфликт. Информацията може да се използва за стартиране на кибератаки за парализиране на ключовите сектори на противника, като мощност, вода и транспорт.

Имайки това предвид, е интересно да се отбележат датите на хакерската кампания. Те показват, че хакерската кампания е започнала преди геополитическото напрежение, причинено от убийството на иранския генерал Касем Солеймани. Следователно тази кибератака не би могла да бъде ответна атака за убийството на Солеймани.

Предишни атаки на критичната инфраструктура

Атаките върху системите за ICS и критичната инфраструктура се увеличават през последните години. Причината за това е, че те са сравнително лесни мишени.

Основният проблем на ICS системите и критичната инфраструктура като железниците и електроцентралите е, че повечето са изградени преди киберсигурността да бъде взета предвид. Много от тях нямаха никакви системи за сигурност, а някои ICS системи все още нямат. Когато след това са модернизирани със системи за сигурност, не винаги е лесно да се разбере къде са останали дупки. Всъщност много ICS системи например са пълни с уязвимости.

Най-известната атака срещу критична инфраструктура е проведена през 2012 г., използвайки зловредния софтуер Stuxnet. Stuxnet е компютърен червей, който е насочен конкретно към програмируеми логически контролери (PLC). Те позволяват автоматизиране на промишлени процеси и процеси за управление на машини.

Изследователите смятат, че Stuxnet е разработен от американско и израелско разузнаване и е използван за нападение на иранска ядрена рафинерия. И двете събраха интелигентност и унищожиха хиляди центрофуги, използвани за обогатяване на уран.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map