Iranul este suspectat de a hackeri o companie europeană de energie | VPNoverview.com

Un grup de hackeri susținut de stat cu sediul în Iran este suspectat că ar fi hackat o companie europeană de energie. Se crede că grupul a folosit un troian cu acces la distanță (RAT) numit PupyRAT în atacul lor.


Ce este PupyRAT

Pupy este un RAT open-source scris în principal în python, care poate oferi atacatorilor acces complet la sistemele victimelor. Este o componentă malversantă multiplă platformă și, astfel, se poate infiltra pe mai multe platforme și anume Windows, Linux, OSX și Android.

Un troian cu acces la distanță (RAT) este un malware care permite hackerilor să monitorizeze și să controleze computerul sau rețeaua unei victime. Funcționează ca programe de acces la distanță legitime folosite adesea de asistența tehnică pentru a ajuta clienții cu probleme de calculator.

Deși PupyRAT este un program de malware cu sursă deschisă, acesta este legat în principal de campaniile de hacking susținute de statul iranian. Este asociat în special cu grupul de hackeri susținut de statul APT 33. APT 33 a fost implicat în atacuri anterioare asupra organizării în sectorul energetic la nivel mondial.

Cum a fost implementat RAT?

RAT-urile pot fi implementate numai pe sisteme compromise anterior. În acest caz, cercetătorii nu știu cum a fost dislocat PupyRAT, dar cred că a fost distribuit prin atacuri de spear-phishing.

Atacurile de vârf de foc sunt vizate către un singur destinatar, mai degrabă decât către un număr mare de destinatari, ca și în cazul atacurilor normale de phishing. Cybercriminalii selectează o țintă în cadrul unei organizații și folosesc media socială și alte informații publice pentru a afla mai multe despre potențialele lor victime. Ei apoi trimit un e-mail fals adaptat pentru acea persoană.

Campaniile anterioare din APT 33 au implicat atacatori care selectează o potențială victimă și își câștigă încrederea înainte de a le trimite în cele din urmă un document rău-intenționat prin e-mail. În consecință, cercetătorii consideră că este posibil să se folosească aceeași metodă de implementare în acest caz.

Dovada intruziunii asupra companiei de energie

Grupul Insikt din viitorul înregistrat a raportat ieri că au găsit dovezi ale unui server PupyRAT Command and Control (C2) care discuta cu un server de poștă de la sfârșitul lunii noiembrie 2019 până la 5 ianuarie 2020.

Raportul Grupului Insikt continuă să explice că: „Deși metadatele singure nu confirmă un compromis, evaluăm că volumul mare și comunicările repetate de la serverul de poștă vizat către un PupyRAT C2 sunt suficiente pentru a indica o intruziune probabilă.”

Serverul de poștă a aparținut unei organizații din sectorul energetic european care coordonează alocarea și resursele resurselor energetice din Europa. Având în vedere rolul organizației, acest atac este de un interes deosebit, mai ales având în vedere creșterea intruziunilor legate de Iran pe software-ul ICS al sectorului energetic.

Phil Neray, VP de Cybersecurity industrial la CyberX, a comentat: „Având în vedere dependențele transfrontaliere extinse din infrastructura energetică europeană, aceasta pare a fi o mișcare strategică a adversarului de a se concentra pe o țintă centralizată pentru a avea impact asupra mai multor țări la în același timp, similar cu valoarea strategică a atacului unei stații centrale de transmisie, mai degrabă decât a mai multor sub-stații de la distanță – așa cum au făcut actorii amenințători ruși în atacul din rețeaua din Ucraina din 2016, comparativ cu atacul din 2015. ”

Obiectivele atacatorilor

Cercetătorii consideră că această ultimă campanie de hacking asupra companiilor europene din sectorul energetic a fost o misiune de recunoaștere. Se crede că misiunea are drept scop colectarea de cunoștințe importante despre procesele instalațiilor de energie și despre sistemele lor de control industrial (ICS). Atacatorii privesc, de asemenea, să identifice punctele slabe ale proceselor companiilor și ale infrastructurii critice.

Priscilla Moriuchi, directorul dezvoltării amenințărilor strategice la Recorded Future explică: „Activarea operațiunilor sau a atacurilor distructive necesită acest tip de recunoaștere și cunoștință în timp asupra comportamentului oficialilor la aceste companii și înțelegerea modului în care o anumită capacitate ar putea avea impact asupra informațiilor sau distribuției de energie. resurse.”

Pentru țări precum Iranul, care sunt suspectate să sponsorizeze aceste grupuri de hacking, aceste cunoștințe pot fi utilizate împotriva adversarilor în cazuri de conflict. Informațiile pot fi utilizate pentru a lansa cyberattacks pentru a paraliza sectoarele cheie ale unui adversar, cum ar fi energia, apa și transportul.

Având în vedere acest lucru, este interesant de remarcat datele campaniei de hacking. Acestea indică faptul că campania de hacking a început înaintea tensiunii geopolitice cauzate de uciderea generalului iranian Qassem Soleimani. În consecință, acest ciberatac nu ar fi putut fi un atac de represalii pentru asasinarea lui Soleimani.

Atacuri anterioare asupra infrastructurii critice

Atacurile asupra sistemelor ICS și infrastructurii critice au crescut în ultimii ani. Motivul pentru aceasta este că sunt ținte relativ ușoare.

Problema principală a sistemelor ICS și a infrastructurii critice precum căile ferate și centralele electrice este că majoritatea au fost construite înainte ca securitatea cibernetică să fie luată în considerare. Multe dintre acestea nu aveau sisteme de securitate și unele sisteme ICS încă nu. Atunci când sunt reamenajate cu sisteme de securitate, nu este întotdeauna ușor de știut unde au fost lăsate găuri. De fapt, multe sisteme ICS, de exemplu, sunt pline de vulnerabilități.

Cel mai cunoscut atac asupra infrastructurii critice a fost realizat în 2012 cu ajutorul programului malware Stuxnet. Stuxnet este un vierm pentru computer care vizează în mod specific Controlerele Logice Programabile (PLC). Acestea permit automatizarea proceselor și proceselor industriale pentru controlul utilajelor.

Cercetătorii consideră că Stuxnet a fost dezvoltat de informațiile americane și israeliene și a fost folosit pentru a ataca o rafinărie nucleară iraniană. Amândoi au colectat informații și au distrus mii de centrifuge folosite pentru îmbogățirea uraniului.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me