V zadnjih dneh je bila javnosti predstavljena nova OT malware, imenovana FrostyGoop ali BUSTLEBERM. To ogrožanje je povezano z aktualno vojno v Ukrajini, kjer je bilo uporabljeno kot cyber orožje za zmotitev kritične infrastrukture. To pomeni, da je še bolj pomembno, da se investira v OT varnost v sodobnem času.
Kako zaščititi OT sistemi proti FrostyGoop/BUSTLEBERM malware
Detekcija in varstvo
Nozomi Networks je razvil platformo, ki je opremljena z bogatim naborom detekcijskih pravil za detekcijo splošnih in točnih napadov. To omogoča proaktivno reagiranje na neznane ogrožaje. Vse naše stranke so že zaščiteni pred tem ogrožanjem z naslednjimi vrsticami varstva:
- OT_HACKTOOL_BUSTLEBERM_ModBus.yar
- OT_HACKTOOL_BUSTLEBERM_indicators.json (BUSTLEBERM – HACKTOOL)
Da bi varstvo bilo na voljo tudi drugim podjetjem, ki niso naših strank, bomo tudi delali virovne kode za YARA pravilo in resnične nevarne kazalce na koncu članka.
Funkcionalnost FrostyGoop/BUSTLEBERM malware
Malware je napisan v Windows in uporablja Modbus industrijski komunikacijski protokol za nadaljnje napade na industrijsko nadzorano sistem (ICS). To je prvi ICS usmerjen malware, ki uporablja Modbus protokol za fizično motenje OT sistema.
Primer napada
V enem primeru je bilo ogroženo mesto v Lvivu, Ukrajina, kjer so napadalci uporabili ogroženo točko v Mikrotik routerju. Napadalci so nato prebivali celo leto, da bi pripravili napad, vključno z pridobitvijo uporabniških podatkov za energijski sistem. Napad je bil izveden nekaj ur pred incidentom, ko so napadalci povezali mrežo energijskega sistema z IP naslovom iz Moskve.
Varnostne mere
Nozomi Networks ponuja širok nabor detekcijskih pravil za različne IoT ogrožaje. Naša platforma omogoča tudi detekcijo napadov na točkah, kot so Mikrotik routerji. Vse naše stranke imajo že vgrajene detekcijske pravice za različne napade, kar omogoča proaktivno reagiranje na nevarnosti.
Zaključek
FrostyGoop/BUSTLEBERM malware je primer, da se napadalci osredotočajo na manj znane sisteme in protokole, kot so ti, ki ohranjajo kritično infrastrukturo, kot je električna energija in voda. Varnostna tehnologija kot je Nozomi Networks, je ključna za zavarovanje OT sistemov pred takšnimi ogrožaji. Vse naše stranke so že zaščiteni z našimi detekcijskimi pravili, ki so opremljeni za detekcijo FrostyGoop/BUSTLEBERM malware. Naša platforma omogoča tudi proaktivno reagiranje na nevarnosti, kar pomeni, da se lahko napadi preprečijo preden nastopijo. Varnostna tehnologija je ključna za zavarovanje kritične infrastrukture, ki jo uporabljamo vsakdanje, in mora biti vedno na vo
Raziskovalci Chekpoint so odkrili, da se lahko okužite tudi preko LinkedIn Messengerja. LinkedIn sicer preverja datoteke, ki jih uporabniki pripnejo in pošljejo preko messengerja, toda napadalci znajo tudi zaobiti varnostno preverjanje datotek, ki se pošiljajo preko LinkedIn Messenger. Napadalci to naredijo tako, da skreirajo Power Shell script, ki ga nato shranijo kot .pdf datoteko in jo naložijo na LinkedIn. Naslednja možnost, ki jo imajo hekerji, je, da kreirajo Windows registry datoteko, ki vsebuje PowerShell script, in vse skupaj sranijo kot .pdf datoteko. Tretja možnost je kreiranje XLSM datoteke, ki ima vključen Macro, kar nato shranijo kot XLSX datoteko. In zadnja možnost je, da kreirajo DOCX datoteko z zunanjim objektom.