Το Ιράν ύποπτος για παραβίαση ευρωπαϊκής εταιρείας ενέργειας | VPNoverview.com

Μια υποτιθέμενη από το κράτος ομάδα πειρατείας που εδρεύει στο Ιράν είναι ύποπτη ότι έχει παραβιάσει μια ευρωπαϊκή εταιρεία ενέργειας. Η ομάδα πιστεύεται ότι χρησιμοποίησε ένα Trojan Remote Access (RAT) που ονομάζεται PupyRAT στην επίθεσή τους.


Τι είναι το PupyRAT

Το Pupy είναι ένα RAT ανοιχτού κώδικα, γραμμένο κυρίως σε πύθωνα που μπορεί να δώσει στους εισβολείς πλήρη πρόσβαση στα συστήματα των θυμάτων. Είναι ένα κακόβουλο λογισμικό πολλαπλών πλατφορμών και έτσι μπορεί να διεισδύσει σε πολλαπλές πλατφόρμες, δηλαδή Windows, Linux, OSX και Android.

Το Remote Access Trojan (RAT) είναι κακόβουλο λογισμικό που επιτρέπει στους χάκερ να παρακολουθούν και να ελέγχουν τον υπολογιστή ή το δίκτυο ενός θύματος. Λειτουργεί σαν νόμιμα προγράμματα απομακρυσμένης πρόσβασης που χρησιμοποιούνται συχνά από τεχνική υποστήριξη για να βοηθήσει τους πελάτες σε ζητήματα υπολογιστών.

Παρόλο που το PupyRAT είναι ένα λογισμικό κακόβουλου λογισμικού ανοιχτού κώδικα, συνδέεται κυρίως με εκστρατείες χάραξης που υποστηρίζονται από το Ιράν. Συνδέεται ιδιαίτερα με την ομάδα hacking που υποστηρίζεται από το κράτος APT 33. Το APT 33 έχει εμπλακεί σε προηγούμενες επιθέσεις κατά της οργάνωσης στον ενεργειακό τομέα παγκοσμίως.

Πώς αναπτύχθηκε το RAT?

Οι RAT μπορούν να αναπτυχθούν μόνο σε προηγουμένως παραβιασμένα συστήματα. Σε αυτήν την περίπτωση, οι ερευνητές δεν γνωρίζουν πώς αναπτύχθηκε το PupyRAT, αλλά πιστεύουν ότι διανεμήθηκε μέσω επιθέσεων ψαρέματος-ψαρέματος.

Οι επιθέσεις ηλεκτρονικού ψαρέματος (phear-phishing) στοχεύουν σε έναν μόνο παραλήπτη και όχι σε μεγάλο αριθμό παραληπτών, όπως και σε κανονικές επιθέσεις ηλεκτρονικού ψαρέματος. Οι εγκληματίες του κυβερνοχώρου επιλέγουν έναν στόχο μέσα σε έναν οργανισμό και χρησιμοποιούν τα μέσα κοινωνικής δικτύωσης και άλλες δημόσιες πληροφορίες για να μάθουν περισσότερα για το πιθανό θύμα τους. Στη συνέχεια δημιουργούν ένα ψεύτικο email προσαρμοσμένο για αυτό το άτομο.

Στις προηγούμενες εκστρατείες APT 33 συμμετείχαν επιτιθέμενοι να επιλέξουν ένα πιθανό θύμα και να κερδίσουν την εμπιστοσύνη τους προτού τελικά τους στείλουν ένα κακόβουλο έγγραφο μέσω email. Κατά συνέπεια, οι ερευνητές πιστεύουν ότι είναι πιθανό ότι η ίδια μέθοδος ανάπτυξης χρησιμοποιήθηκε σε αυτήν την περίπτωση.

Αποδεικτικά στοιχεία της εισβολής στην εταιρεία ενέργειας

Το Recorded Future’s Insikt Group ανέφερε χθες ότι βρήκαν στοιχεία για έναν διακομιστή PupyRAT Command and Control (C2) που συνομιλεί με έναν διακομιστή αλληλογραφίας από τα τέλη Νοεμβρίου 2019 έως τις 5 Ιανουαρίου 2020.

Η έκθεση του Insikt Group συνεχίζει να εξηγεί ότι: “Ενώ τα μεταδεδομένα από μόνα τους δεν επιβεβαιώνουν έναν συμβιβασμό, εκτιμούμε ότι ο μεγάλος όγκος και οι επαναλαμβανόμενες επικοινωνίες από το στοχευμένο διακομιστή αλληλογραφίας σε ένα PupyRAT C2 επαρκούν για να δείξουν μια πιθανή εισβολή.”

Ο διακομιστής αλληλογραφίας ανήκε σε έναν ευρωπαϊκό οργανισμό ενεργειακού τομέα που συντονίζει την κατανομή και τον πόρο των ενεργειακών πόρων στην Ευρώπη. Δεδομένου του ρόλου του οργανισμού, αυτή η επίθεση παρουσιάζει ιδιαίτερο ενδιαφέρον, ιδίως λαμβάνοντας υπόψη την αύξηση των παρεμβάσεων που συνδέονται με το Ιράν στο λογισμικό ICS του ενεργειακού τομέα..

Ο Phil Neray, Αντιπρόεδρος της Βιομηχανικής Cybersecurity στο CyberX, σχολίασε: «Δεδομένων των εκτεταμένων διασυνοριακών εξαρτήσεων σε ολόκληρη την ευρωπαϊκή ενεργειακή υποδομή, αυτό φαίνεται να είναι μια στρατηγική κίνηση του αντιπάλου να επικεντρωθεί σε έναν κεντρικό στόχο προκειμένου να επηρεάσει πολλές χώρες στο ταυτόχρονα, παρόμοια με τη στρατηγική αξία της επίθεσης σε έναν μόνο κεντρικό σταθμό μετάδοσης παρά σε πολλούς απομακρυσμένους υποσταθμούς – όπως έκαναν οι Ρώσοι απειλητικοί ηθοποιοί στην επίθεση στο δίκτυο της Ουκρανίας το 2016 σε σύγκριση με την επίθεση του 2015 ».

Οι στόχοι των επιτιθέμενων

Οι ερευνητές πιστεύουν ότι αυτή η τελευταία εκστρατεία πειρατείας σε ευρωπαϊκές εταιρείες στον ενεργειακό τομέα ήταν μια αποστολή αναγνώρισης. Η αποστολή πιστεύεται ότι στοχεύει στη συλλογή σημαντικών γνώσεων σχετικά με τις διεργασίες των ενεργειακών σταθμών και τα Συστήματα Βιομηχανικού Ελέγχου (ICS). Οι επιτιθέμενοι προσπαθούν επίσης να εντοπίσουν αδυναμίες στις διαδικασίες των εταιρειών και στην κρίσιμη υποδομή.

Ο Priscilla Moriuchi, διευθυντής της στρατηγικής ανάπτυξης απειλών στο Recorded Future εξηγεί: «Η ενεργοποίηση επιχειρήσεων ή καταστροφικών επιθέσεων παίρνει αυτό το είδος αναγνώρισης και επίβλεψης της συμπεριφοράς των υπαλλήλων σε αυτές τις εταιρείες και κατανοώντας πώς μια συγκεκριμένη ικανότητα θα μπορούσε να επηρεάσει τις πληροφορίες ή τη διανομή ενέργειας πόροι.”

Για χώρες όπως το Ιράν, οι οποίες είναι ύποπτες ότι χρηματοδοτούν αυτές τις ομάδες πειρατείας, αυτές οι γνώσεις μπορούν να χρησιμοποιηθούν εναντίον αντιπάλων σε περιπτώσεις συγκρούσεων. Οι πληροφορίες μπορούν να χρησιμοποιηθούν για την εκκίνηση κυβερνοεπιθέσεων για την παράλυση των βασικών τομέων ενός αντιπάλου, όπως η ενέργεια, το νερό και οι μεταφορές.

Έχοντας αυτό υπόψη, είναι ενδιαφέρον να σημειώσετε τις ημερομηνίες της εκστρατείας εισβολής. Αυτά δείχνουν ότι η εκστρατεία πειρατείας ξεκίνησε πριν από τη γεωπολιτική ένταση που προκλήθηκε από τη δολοφονία του Ιρανού στρατηγού Qassem Soleimani. Κατά συνέπεια, αυτή η επίθεση στον κυβερνοχώρο δεν θα μπορούσε να ήταν αντίποινα για τη δολοφονία του Soleimani.

Προηγούμενες επιθέσεις σε κρίσιμες υποδομές

Οι επιθέσεις σε συστήματα ICS και κρίσιμες υποδομές έχουν αυξηθεί τα τελευταία χρόνια. Ο λόγος για αυτό είναι ότι είναι συγκριτικά εύκολοι στόχοι.

Το κύριο πρόβλημα με τα συστήματα ICS και τις κρίσιμες υποδομές όπως οι σιδηρόδρομοι και οι σταθμοί ηλεκτροπαραγωγής είναι ότι τα περισσότερα κατασκευάστηκαν πριν ληφθεί υπόψη η ασφάλεια στον κυβερνοχώρο. Πολλά από αυτά δεν είχαν συστήματα ασφαλείας και ορισμένα συστήματα ICS εξακολουθούν να μην έχουν. Όταν στη συνέχεια προσαρμόζονται με συστήματα ασφαλείας, δεν είναι πάντα εύκολο να γνωρίζουμε πού έχουν μείνει τρύπες. Στην πραγματικότητα, πολλά συστήματα ICS, για παράδειγμα, είναι γεμάτα ευπάθειες.

Η πιο διάσημη επίθεση σε κρίσιμες υποδομές πραγματοποιήθηκε το 2012 χρησιμοποιώντας το κακόβουλο λογισμικό Stuxnet. Το Stuxnet είναι ένας υπολογιστής τύπου worm που στοχεύει ειδικά τους προγραμματιζόμενους λογικούς ελεγκτές (PLC). Αυτά επιτρέπουν την αυτοματοποίηση βιομηχανικών διαδικασιών και διαδικασιών για τον έλεγχο μηχανημάτων.

Οι ερευνητές πιστεύουν ότι το Stuxnet αναπτύχθηκε από αμερικανικές και ισραηλινές πληροφορίες και χρησιμοποιήθηκε για να επιτεθεί σε ένα ιρανικό πυρηνικό διυλιστήριο. Και οι δύο συλλέγουν πληροφορίες και καταστρέφουν χιλιάδες φυγοκεντρητές που χρησιμοποιούνται για τον εμπλουτισμό του ουρανίου.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me