Iran bị nghi ngờ hack một công ty năng lượng châu Âu | VPNoverview.com

Một nhóm hack được nhà nước hậu thuẫn có trụ sở tại Iran bị nghi ngờ đã hack một công ty Năng lượng châu Âu. Nhóm được cho là đã sử dụng Trojan truy cập từ xa (RAT) có tên PupyRAT trong cuộc tấn công của họ.


PupyRAT là gì

Pupy là một RAT mã nguồn mở được viết chủ yếu bằng trăn có thể cung cấp cho kẻ tấn công quyền truy cập đầy đủ vào các hệ thống nạn nhân. Nó là một phần mềm độc hại đa nền tảng và do đó có thể xâm nhập vào nhiều nền tảng như Windows, Linux, OSX và Android.

Trojan truy cập từ xa (RAT) là phần mềm độc hại cho phép tin tặc giám sát và kiểm soát máy tính hoặc mạng nạn nhân. Nó hoạt động giống như các chương trình truy cập từ xa hợp pháp thường được hỗ trợ kỹ thuật sử dụng để giúp khách hàng xử lý các sự cố máy tính.

Mặc dù PupyRAT là một phần mềm độc hại mã nguồn mở, nhưng nó chủ yếu được liên kết với các chiến dịch hack do nhà nước Iran hậu thuẫn. Nó đặc biệt liên quan đến nhóm hack APT 33 được nhà nước hậu thuẫn. APT 33 đã tham gia vào các cuộc tấn công trong quá khứ vào tổ chức trong lĩnh vực năng lượng trên toàn thế giới.

RAT đã được triển khai như thế nào?

RAT chỉ có thể được triển khai trên các hệ thống bị xâm nhập trước đó. Trong trường hợp này, các nhà nghiên cứu không muốn biết cách sử dụng PupyRAT nhưng tin rằng nó được phân phối thông qua các cuộc tấn công lừa đảo.

Các cuộc tấn công lừa đảo nhằm vào một người nhận chứ không phải là số lượng lớn người nhận như với các cuộc tấn công lừa đảo thông thường. Tội phạm mạng chọn một mục tiêu trong một tổ chức và sử dụng phương tiện truyền thông xã hội và thông tin công khai khác để tìm hiểu thêm về nạn nhân tiềm năng của họ. Sau đó, họ tạo một email giả phù hợp với người đó.

Các chiến dịch APT 33 trước đây có sự tham gia của những kẻ tấn công chọn một nạn nhân tiềm năng và chiếm được lòng tin của họ trước khi cuối cùng gửi cho họ một tài liệu độc hại qua email. Do đó, các nhà nghiên cứu tin rằng có khả năng phương thức triển khai tương tự đã được sử dụng trong trường hợp này.

Bằng chứng về sự xâm nhập của Công ty Năng lượng

Ghi lại trong tương lai Nhóm Insikt đã báo cáo rằng họ đã tìm thấy bằng chứng về một máy chủ chỉ huy và kiểm soát PupyRAT (C2) trò chuyện với một máy chủ thư từ cuối tháng 11 năm 2019 cho đến ngày 5 tháng 1 năm 2020.

Báo cáo của Nhóm Insikt tiếp tục giải thích rằng: Một mình siêu dữ liệu không xác nhận sự thỏa hiệp, chúng tôi đánh giá rằng khối lượng lớn và liên lạc lặp lại từ máy chủ thư được nhắm mục tiêu đến PupyRAT C2 là đủ để chỉ ra khả năng xâm nhập.

Máy chủ thư thuộc về một tổ chức ngành năng lượng châu Âu phối hợp phân bổ và cung cấp nguồn lực lại cho các nguồn năng lượng ở châu Âu. Với vai trò của tổ chức, cuộc tấn công này được đặc biệt quan tâm, đặc biệt là xem xét sự gia tăng các cuộc xâm nhập liên quan đến Iran trên phần mềm ICS của ngành năng lượng.

Phil Neray, Phó Giám đốc An ninh mạng Công nghiệp tại CyberX, nhận xét: Đã đưa ra sự phụ thuộc xuyên biên giới trên khắp cơ sở hạ tầng năng lượng châu Âu, đây dường như là một động thái chiến lược của kẻ thù để tập trung vào một mục tiêu tập trung nhằm tác động đến nhiều quốc gia tại đồng thời, tương tự như giá trị chiến lược của việc tấn công một trạm truyền tải trung tâm duy nhất thay vì nhiều trạm biến áp từ xa – như các tác nhân đe dọa của Nga đã làm trong vụ tấn công lưới điện năm 2016 của Ukraine so với cuộc tấn công năm 2015 của họ.

Mục tiêu tấn công của kẻ tấn công

Các nhà nghiên cứu tin rằng chiến dịch hack mới nhất này vào các công ty châu Âu trong lĩnh vực Năng lượng là một nhiệm vụ trinh sát. Nhiệm vụ này được cho là nhằm mục đích thu thập kiến ​​thức quan trọng về các quy trình của các nhà máy năng lượng và Hệ thống kiểm soát công nghiệp (ICS) của họ. Những kẻ tấn công cũng tìm cách xác định điểm yếu trong các công ty quy trình và cơ sở hạ tầng quan trọng.

Priscilla Moriuchi, giám đốc phát triển mối đe dọa chiến lược tại Recorded Future giải thích: Các hoạt động kích hoạt hoặc tấn công phá hoại cần loại trinh sát kéo dài hàng tháng này và hiểu biết sâu sắc về hành vi của các quan chức tại các công ty này và hiểu cách một khả năng nhất định có thể tác động đến thông tin hoặc phân phối năng lượng tài nguyên.”

Đối với các quốc gia như Iran, những người bị nghi ngờ tài trợ cho các nhóm hack này, kiến ​​thức như vậy có thể được sử dụng để chống lại các đối thủ trong các trường hợp xung đột. Thông tin có thể được sử dụng để khởi động các cuộc tấn công mạng nhằm làm tê liệt một lĩnh vực quan trọng của đối thủ, như điện, nước và giao thông.

Với suy nghĩ này, thật thú vị khi lưu ý ngày của chiến dịch hack. Những điều này cho thấy chiến dịch hack bắt đầu trước khi căng thẳng địa chính trị gây ra bởi vụ giết chết Tướng Iran Qassem Soleimani. Do đó, cuộc tấn công mạng này không thể là một cuộc tấn công trả đũa cho vụ ám sát Soleimani..

Tấn công trước đây về cơ sở hạ tầng quan trọng

Tấn công vào các hệ thống ICS và cơ sở hạ tầng quan trọng đang gia tăng trong những năm gần đây. Lý do cho điều này là chúng là những mục tiêu tương đối dễ dàng.

Vấn đề chính với các hệ thống ICS và cơ sở hạ tầng quan trọng như đường sắt và nhà máy điện là hầu hết được xây dựng trước khi an ninh mạng được xem xét. Nhiều người trong số những người này đã có bất kỳ hệ thống bảo mật nào và một số hệ thống ICS vẫn không thể sử dụng. Khi chúng được trang bị thêm hệ thống bảo mật, nó không phải lúc nào cũng dễ dàng biết được lỗ hổng còn sót lại ở đâu. Trong thực tế, ví dụ, nhiều hệ thống ICS chứa đầy lỗ hổng.

Cuộc tấn công nổi tiếng nhất vào cơ sở hạ tầng quan trọng được thực hiện vào năm 2012 bằng cách sử dụng phần mềm độc hại Stuxnet. Stuxnet là một con sâu máy tính đặc biệt nhắm vào Bộ điều khiển logic khả trình (PLC). Điều này cho phép tự động hóa các quy trình và quy trình công nghiệp để điều khiển máy móc.

Các nhà nghiên cứu tin rằng Stuxnet được phát triển bởi tình báo Mỹ và Israel và được sử dụng để tấn công một nhà máy lọc hạt nhân của Iran. Nó vừa thu thập thông tin tình báo vừa phá hủy hàng ngàn máy ly tâm dùng để làm giàu uranium.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me