Иран осумњичен да хакује европску енергетску компанију | ВПНовервиев.цом

Осумњичена је да је хакерска група са сједиштем у Ирану осујетила да је хаковала европску енергетску компанију. Верује се да је група користила Тројан на даљински приступ (РАТ) зван ПупиРАТ у свом нападу.


Шта је ПупиРАТ

Пупи је опен-соурце РАТ написан углавном на питхон-у који може дати нападачима потпуни приступ системима жртава. То је злонамјерни софтвер на више платформи и на тај начин може се инфилтрирати на више платформи, наиме Виндовс, Линук, ОСКС и Андроид.

Тројански даљински приступ (РАТ) је злонамерни софтвер који омогућава хакерима да надгледају и контролирају рачунар или мрежу жртве. Дјелује попут законитих програма за даљински приступ који често користи техничка подршка како би помогла купцима у проблемима са рачунаром.

Иако је ПупиРАТ злонамјерни софтвер отвореног кода, углавном је повезан с иранским хакерским кампањама које подржава држава. Нарочито је повезан са групом за хакирање коју је подржала држава АПТ 33. АПТ 33 учествовао је у прошлим нападима на организацију у енергетском сектору широм света.

Како је примењен РАТ?

РАТ-ови се могу применити само на претходно угроженим системима. У овом случају, истраживачи не знају како је ПупиРАТ распоређен, али верују да је дистрибуиран нападима подметања копљима.

Напади под крађим идентитетом циљају на једног примаоца, а не на велики број прималаца као код уобичајених пхисхинг напада. Цибер-криминалци бирају циљ унутар организације и користе друштвене медије и друге јавне информације да би сазнали више о својој потенцијалној жртви. Затим креирају лажни емаил прилагођен тој особи.

Претходне кампање АПТ 33 укључивале су нападаче који су бирали потенцијалну жртву и стекли поверење пре него што им на крају пошаљу злонамерни документ путем е-маила. Сходно томе, истраживачи верују да је вероватно да се у овом случају користила иста метода размештања.

Доказ о упаду у енергетску компанију

Инсикт група Рецордед Футуре јуче је известила да су пронашли доказе да је ПупиРАТ сервер за наредбу и контролу (Ц2) разговарао са поштанским сервером од краја новембра 2019. до 5. јануара 2020. године..

Извештај Инсикт Групе даље објашњава да: „Иако метаподаци сами не потврђују компромис, процењујемо да су велика количина и поновљена комуникација са циљаног сервера поште на ПупиРАТ Ц2 довољни да укажу на могућу провале.“

Послужитељ за пошту је припадао европској организацији у енергетском сектору која координира расподелу и ресурсе енергетских ресурса у Европи. С обзиром на улогу организације, овај напад је од посебног интереса, посебно имајући у виду пораст упада у Иран који су повезани са ИЦС софтвером енергетског сектора.

Пхил Нераи, потпредседник индустријске кибернетичке безбедности у ЦиберКс-у, прокоментарисао је: „Имајући у виду велике прекограничне зависности широм европске енергетске инфраструктуре, чини се да је то стратешки потез противника да се фокусира на централизовани циљ како би се утицало на више земаља на у исто време, слично стратешкој вредности напада на једну централну предајну станицу, а не на више удаљених подстаница – као што су то учинили руски актери претњи током напада на украјинску мрежу 2016. године у поређењу са њиховим нападом из 2015. године. “

Циљеви нападача

Истраживачи верују да је ова последња хакерска кампања за европске компаније у сектору енергетике била извиђачка мисија. Сматра се да је мисија усмерена на прикупљање важног знања о процесима енергетских постројења и њиховим индустријским контролним системима (ИЦС). Нападачи такође траже да препознају слабости у процесима компанија и критичној инфраструктури.

Присцилла Мориуцхи, директор развоја стратешких претњи у Рецордед Футуре објашњава: „Омогућавање операција или деструктивних напада захтева ову вишемјесечну извиђање и увид у понашање службеника ових компанија и разумијевање како одређена способност може утјецати на информације или дистрибуцију енергије ресурси. “

За земље попут Ирана, за које се сумња да су спонзорирале ове хакерске групе, такво знање се може употријебити противницима у случајевима сукоба. Информације се могу користити за покретање цибер напада како би се парализовао кључне секторе противника, као што су снага, вода и транспорт.

Имајући то у виду, занимљиво је приметити датуме хакерске кампање. Они указују да је хакерска кампања започела пре геополитичке напетости проузроковане убиством иранског генерала Кассема Солеиманија. Сходно томе, овај цибер-напад није могао бити одмазда напад за Солеиманијево убиство.

Претходни напади на критичну инфраструктуру

Напади на ИЦС системе и критичну инфраструктуру су у порасту последњих година. Разлог за то је што су они релативно лака мета.

Главни проблем са ИЦС системима и критичном инфраструктуром попут железница и електрана је тај што је већина изграђена пре него што је разматрање кибернетичке сигурности. Многи од њих нису имали безбедносне системе, а неки ИЦС системи још увек немају. Када су они накнадно опремљени сигурносним системима, није увек лако знати где су рупе остале. У ствари, многи ИЦС системи, на пример, препуни су рањивости.

Најпознатији напад на критичну инфраструктуру извршен је 2012. године помоћу злонамјерног софтвера Стукнет. Стукнет је рачунарски црв који посебно циља програмабилне логичке контролере (ПЛЦ). Они омогућавају аутоматизацију индустријских процеса и процеса за контролу машина.

Истраживачи верују да су Стукнет развили америчка и израелска обавештајна служба и коришћен је за напад на иранску нуклеарну рафинерију. Обе су сакупљале интелигенцију и уништиле хиљаде центрифуга које су коришћене за обогаћивање уранијума.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me