ირანში ეჭვმიტანილია ევროპული ენერგეტიკული კომპანიის ჰაკერების გატაცებაში | VPNoverview.com

ირანში დაფუძნებული ჰაკერების ჯგუფი, რომელსაც ეჭვმიტანილი აქვთ ევროპული ენერგეტიკული კომპანია ჰაკეკის გარჩევაში. ჯგუფში, სავარაუდოდ, გამოიყენეს Remote Access Trojan (RAT), რომელსაც PupyRAT უწოდეს.

რა არის PupyRAT

Pupy არის ღია წყარო RAT, რომელიც ძირითადად პითონშია დაწერილი, რომელსაც თავდამსხმელებს მსხვერპლის სისტემებზე სრული წვდომა შეუძლია. ეს არის malware პლატფორმის ცალი პლატფორმის ნაწილისა და, ამრიგად, შესაძლებელია მრავალი პლატფორმის შეღწევა, კერძოდ Windows, Linux, OSX და Android.

დისტანციური წვდომის Trojan (RAT) არის malware, რომელიც საშუალებას აძლევს ჰაკერებს დააკონტროლონ და აკონტროლონ დაზარალებულის კომპიუტერი ან ქსელი. იგი მუშაობს ლეგიტიმური დისტანციური წვდომის პროგრამების მსგავსად, რომლებიც ხშირად ტექნიკური დახმარებით გამოიყენება კომპიუტერის პრობლემების მქონე მომხმარებლების დასახმარებლად.

მიუხედავად იმისა, რომ PupyRAT არის მავნე პროგრამის ღია ცალი, ის ძირითადად დაკავშირებულია ირანის სახელმწიფო მხარდაჭერით განხორციელებულ ჰაკეინერთან. ეს განსაკუთრებით ასოცირდება APT 33– ის მიერ დაფინანსებული ჰაკერების ჯგუფთან. 33 APT მონაწილეობდა მთელ მსოფლიოში ენერგეტიკის სექტორში ორგანიზაციაზე განხორციელებულ თავდასხმებში.

როგორ განლაგდა RAT?

RAT– ების განთავსება შესაძლებელია მხოლოდ ადრე კომპრომეტირებულ სისტემებზე. ამ შემთხვევაში, მკვლევარებმა არ იციან, თუ როგორ იქნა განლაგებული PupyRAT, მაგრამ მიაჩნიათ, რომ ის განაწილდა შუბზე ფიშინგზე შეტევებით.


Spear- ფიშინგური შეტევები მიმართულია ერთი მიმღებისკენ, ვიდრე მიმღების დიდი რაოდენობა, როგორც ჩვეულებრივი ფიშინგის შეტევების დროს. კიბერდანაშაულები ირჩევენ მიზანს ორგანიზაციის შიგნით და იყენებენ სოციალურ მედიას და სხვა საჯარო ინფორმაციას მათი პოტენციური მსხვერპლის შესახებ უფრო მეტი ინფორმაციის მისაღებად. შემდეგ ისინი ამ ადამიანზე მორგებულ ყალბ ელ.წერას ამზადებენ.

წინა APT 33 კამპანიებში მონაწილეობა მიიღეს თავდამსხმელებმა პოტენციური მსხვერპლის არჩევისას და ნდობის მოპოვებამდე, სანამ საბოლოოდ მათ ელ.ფოსტით გაგზავნიდნენ მავნე დოკუმენტს. შესაბამისად, მკვლევარები თვლიან, რომ სავარაუდოდ, ამ შემთხვევაში განლაგების იგივე მეთოდი იყო გამოყენებული.

ენერგოკომპანიაში შეჭრის მტკიცებულება

ჩაწერილი მომავლის ინსექტირების ჯგუფმა გუშინ განაცხადა, რომ მათ იპოვნეს PupyRAT ბრძანებისა და კონტროლის (C2) სერვერის შესახებ მესიჯის მოწმობა საფოსტო სერვერთან 2019 წლის ნოემბრის ბოლოდან 2020 წლის 5 იანვრის ჩათვლით.

ინსტიქტ ჯგუფის დასკვნაში განმარტებულია, რომ: ”მიუხედავად იმისა, რომ მეტამონაცემები არ დაადასტურა კომპრომისი, ჩვენ ვაფასებთ, რომ მაღალი მოცულობა და განმეორებითი კომუნიკაციები მიზნობრივი ფოსტის სერვერიდან PupyRAT C2– ში საკმარისია იმისთვის, რომ მიუთითოთ სავარაუდოდ შეჭრა.”

ფოსტის სერვერი ეკუთვნოდა ევროპის ენერგეტიკის სექტორის ორგანიზაციას, რომელიც კოორდინაციას უწევს ევროპაში ენერგორესურსების გამოყოფასა და რესურსების გამოყენებას. ორგანიზაციის როლის გათვალისწინებით, ეს შეტევა განსაკუთრებით საინტერესოა, განსაკუთრებით იმის გათვალისწინებით, რომ ირანთან დაკავშირებულია შეჭრა ენერგიის სექტორში ICS პროგრამული უზრუნველყოფის შესახებ..

Phil Neray, VP სამრეწველო კიბეს უსაფრთხოება CyberX- ში, ამბობს: ”იმის გათვალისწინებით, რომ ვრცელი საზღვრები დიდი დამოკიდებულებაა ევროპულ ენერგეტიკულ ინფრასტრუქტურაში, ეს, როგორც ჩანს, მოწინააღმდეგის სტრატეგიული ნაბიჯია, რომ ფოკუსირება მოახდინოს ცენტრალიზებულ მიზანზე, რათა გავლენა იქონიოს მრავალ ქვეყანაში. ამავე დროს, მსგავსია ერთი ცენტრალურ გადამცემ სადგურზე თავდასხმის სტრატეგიული მნიშვნელობის ნაცვლად, ვიდრე მრავალ დისტანციურ ქვესადგურზე – როგორც ეს რუსმა საფრთხის შემსრულებლებმა გააკეთეს 2016 წლის უკრაინული ქსელის შეტევაში, ვიდრე მათ 2015 წლის თავდასხმა აქვთ ”.

თავდამსხმელთა მიზნები

მკვლევარებმა მიიჩნიეს, რომ ეს უკანასკნელი ჰაკერების კამპანია ენერგეტიკის სექტორში ევროპულ კომპანიებზე იყო სარეკლამო მისია. მისიის მიზანია ენერგიის ელექტროსადგურების პროცესების და მათი სამრეწველო კონტროლის სისტემების (ICS) მნიშვნელოვანი ცოდნის შეგროვება. თავდამსხმელები ასევე ცდილობენ კომპანიების პროცესებსა და კრიტიკულ ინფრასტრუქტურაში არსებული სისუსტეების დადგენას.

პრისსილა მორიუჩი, „Recorded Future“ სტრატეგიული საფრთხის შემუშავების დირექტორი განმარტავს: ”ოპერაციების ან დესტრუქციული შეტევების განხორციელება ამ ტიპის თვეების გადახედვასა და გარკვევაში ხედავს ამ კომპანიების თანამდებობის პირთა ქცევას და იმის გაგებას, თუ როგორ შეიძლება ამა თუ იმ შესაძლებლობამ გავლენა მოახდინოს ინფორმაციის ან ენერგიის განაწილებაზე. რესურსები. ”

ისეთი ქვეყნებისთვის, როგორიცაა ირანი, რომლებიც ეჭვმიტანილები არიან ამ ჰაკერების ჯგუფების სპონსორში, ასეთი ცოდნის გამოყენება შესაძლებელია მოწინააღმდეგეების წინააღმდეგ კონფლიქტის შემთხვევებში. ინფორმაცია შეგიძლიათ გამოიყენოთ კიბერდასატყვისების წამოწყების მიზნით, მოწინააღმდეგის საკვანძო სექტორების, მაგალითად, ენერგია, წყალი და ტრანსპორტირება..

ამის გათვალისწინებით, საინტერესოა აღინიშნოს ჰაკერების კამპანიის თარიღები. ეს მიუთითებს იმაზე, რომ ჰაკერების კამპანია დაიწყო ირანის გენერალ ქასემ სოლიმანის მკვლელობის შედეგად გამოწვეული გეოპოლიტიკური დაძაბულობის წინ. შესაბამისად, ეს კიბერშეტევა ვერ იქნებოდა საპასუხო შეტევა სოლიმანის მკვლელობისთვის.

წინა თავდასხმები კრიტიკულ ინფრასტრუქტურაზე

ICS სისტემებზე და კრიტიკულ ინფრასტრუქტურაზე შეტევები ბოლო წლების განმავლობაში მზარდია. ამის მიზეზი არის ის, რომ ისინი შედარებით მარტივია.

ICS სისტემების და კრიტიკული ინფრასტრუქტურის მთავარი პრობლემა, როგორიცაა რკინიგზა და ელექტროსადგურები, არის ის, რომ უმეტესობა აშენდა ადრე კიბერუსაფრთხოების საკითხებამდე. ბევრ მათგანს არ გააჩნია უსაფრთხოების სისტემა და ზოგიერთ ICS სისტემას ჯერ კიდევ არ აქვთ. როდესაც ისინი შემდეგ გადაკეთებულია უსაფრთხოების სისტემებით, ყოველთვის არ არის ადვილი იმის ცოდნა, თუ სად დარჩა ხვრელები. სინამდვილეში, ბევრი ICS სისტემა, მაგალითად, სავსეა დაუცველობით.

ყველაზე ცნობილი შეტევა კრიტიკულ ინფრასტრუქტურაზე განხორციელდა 2012 წელს, malware Stuxnet– ის გამოყენებით. Stuxnet არის კომპიუტერული ჭია, რომელიც კონკრეტულად მიზნად ისახავს პროგრამირებადი ლოგიკური კონტროლერებს (PLCs). ეს საშუალებას აძლევს სამრეწველო პროცესებისა და პროცესების ავტომატიზაციას, მანქანების კონტროლისთვის.

მკვლევარებმა მიიჩნიეს, რომ სტუქსნეტი შეიმუშავეს ამერიკელმა და ისრაელმა დაზვერვამ და ის გამოიყენეს ირანის ბირთვული ქარხნის თავდასხმისთვის. მან ორივე შეაგროვა დაზვერვა და გაანადგურა ათასობით ცენტრიფუგა, რომელიც გამოყენებულია ურანის გასამდიდრებლად.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me