V zadnjih dneh je bila javnosti predstavljena nova OT malware, imenovana FrostyGoop ali BUSTLEBERM. To ogrožanje je povezano z aktualno vojno v Ukrajini, kjer je bilo uporabljeno kot cyber orožje za zmotitev kritične infrastrukture. To pomeni, da je še bolj pomembno, da se investira v OT varnost v sodobnem času.
Kako zaščititi OT sistemi proti FrostyGoop/BUSTLEBERM malware
Detekcija in varstvo
Nozomi Networks je razvil platformo, ki je opremljena z bogatim naborom detekcijskih pravil za detekcijo splošnih in točnih napadov. To omogoča proaktivno reagiranje na neznane ogrožaje. Vse naše stranke so že zaščiteni pred tem ogrožanjem z naslednjimi vrsticami varstva:
- OT_HACKTOOL_BUSTLEBERM_ModBus.yar
- OT_HACKTOOL_BUSTLEBERM_indicators.json (BUSTLEBERM – HACKTOOL)
Da bi varstvo bilo na voljo tudi drugim podjetjem, ki niso naših strank, bomo tudi delali virovne kode za YARA pravilo in resnične nevarne kazalce na koncu članka.
Funkcionalnost FrostyGoop/BUSTLEBERM malware
Malware je napisan v Windows in uporablja Modbus industrijski komunikacijski protokol za nadaljnje napade na industrijsko nadzorano sistem (ICS). To je prvi ICS usmerjen malware, ki uporablja Modbus protokol za fizično motenje OT sistema.
Primer napada
V enem primeru je bilo ogroženo mesto v Lvivu, Ukrajina, kjer so napadalci uporabili ogroženo točko v Mikrotik routerju. Napadalci so nato prebivali celo leto, da bi pripravili napad, vključno z pridobitvijo uporabniških podatkov za energijski sistem. Napad je bil izveden nekaj ur pred incidentom, ko so napadalci povezali mrežo energijskega sistema z IP naslovom iz Moskve.
Varnostne mere
Nozomi Networks ponuja širok nabor detekcijskih pravil za različne IoT ogrožaje. Naša platforma omogoča tudi detekcijo napadov na točkah, kot so Mikrotik routerji. Vse naše stranke imajo že vgrajene detekcijske pravice za različne napade, kar omogoča proaktivno reagiranje na nevarnosti.
Zaključek
FrostyGoop/BUSTLEBERM malware je primer, da se napadalci osredotočajo na manj znane sisteme in protokole, kot so ti, ki ohranjajo kritično infrastrukturo, kot je električna energija in voda. Varnostna tehnologija kot je Nozomi Networks, je ključna za zavarovanje OT sistemov pred takšnimi ogrožaji. Vse naše stranke so že zaščiteni z našimi detekcijskimi pravili, ki so opremljeni za detekcijo FrostyGoop/BUSTLEBERM malware. Naša platforma omogoča tudi proaktivno reagiranje na nevarnosti, kar pomeni, da se lahko napadi preprečijo preden nastopijo. Varnostna tehnologija je ključna za zavarovanje kritične infrastrukture, ki jo uporabljamo vsakdanje, in mora biti vedno na vo
Ta kampanja je ciljala vladna omrežja po vsem svetu s pomočjo več ničelnih dnevov v požarnih zidovih Cisco Adaptive Security Appliance (ASA).
Rasomware BadRabbit se širi tako hitro, kot se množijo zajci. Najnovejše ugotovitve dokazujejo, da je ta zlonamerna koda uporabila ukradeno orodje NSA, ki ga je NSA uporabljala za širjenje svojih vohunskih programov po omrežju.
Letos sta v IT svetu povzročila veliko škode že dva izsiljevalska programa, WannaCry in Petya. V Rusiji, kjer je okuženih največ računalnikov, in Ukrajini pa se sedaj širi nov napad z izsiljevalskim virusom (ransomware), imenovan Bad Rabbit, ki se sedaj iz vzhodne Evrope širi tudi že v Turčijo in Nemčijo. Tako poročajo, da so okužene večje ruske medijske organizacije (tudi ruska neodvisna zasebna tiskovna agencija Interfax), letališče v Odessi in sistem podzemne železnice v ukrajinski prestolnici Kijev. Ukrajinske oblasti so napade v svoji državi potrdile.
Raziskovalci Chekpoint so odkrili, da se lahko okužite tudi preko LinkedIn Messengerja. LinkedIn sicer preverja datoteke, ki jih uporabniki pripnejo in pošljejo preko messengerja, toda napadalci znajo tudi zaobiti varnostno preverjanje datotek, ki se pošiljajo preko LinkedIn Messenger. Napadalci to naredijo tako, da skreirajo Power Shell script, ki ga nato shranijo kot .pdf datoteko in jo naložijo na LinkedIn. Naslednja možnost, ki jo imajo hekerji, je, da kreirajo Windows registry datoteko, ki vsebuje PowerShell script, in vse skupaj sranijo kot .pdf datoteko. Tretja možnost je kreiranje XLSM datoteke, ki ima vključen Macro, kar nato shranijo kot XLSX datoteko. In zadnja možnost je, da kreirajo DOCX datoteko z zunanjim objektom.
Locky ransomware se vrača nazaj; v prejšnjem tednu je bilo uporabnikom kot nezaželena pošta poslanih kar 24 milijonov elektronskih sporočil, ki so bila okužena z izsiljevalsko kodo Locky ransomware. Ta napad je zaenkrat eden od največjih napadov v drugi polovici leta 2017. Elektronska pošta, ki so jo dobili uporabniki, je vsebovala ZIP datoteko, v kateri je bila Visual Basic Script (VBS) datoteka. Ko je uporabnik kliknil na datoteko, je VNS skripta z interneta potegnila zadnjo verzijo Locky ransomware. Nato je Locky zakodiral datoteke na uporabnikovem računalniku s končnico [.]lukitus. Od okuženega uporabnika Locky zahteva plačilo 0,5 Bitcoins, kar je trenutno približno 1.900 €.