Kaspersky a realizat recent o investigatie în privinţa atacurilor cibernetice care vizează sectorul industrial din Europa de Est, informează un comunicat de presă, remis astăzi.
Ancheta a relevat utilizarea de tactici, tehnici şi proceduri avansate (TTP) de către atacatorii cibernetici pentru a compromite organizatiile industriale din regiune. Industrii precum producţia, ingineria şi integrarea sistemului de control industrial (ICS) au fost afectate în mod deosebit. Astfel că, în urma investigaţiei întreprinse de Kaspersky reiese nevoia urgentă de pregatire sporită pentru securitatea cibernetică.
In timpul anchetei, Kaspersky a descoperit o serie de atacuri ţintite, cu scopul de a stabili un canal permanent pentru exfiltrarea datelor. Aceste campanii au prezentat asemănări semnificative cu atacurile cercetate anterior, precum ExCone si DexCone, fapt care sugerează implicarea APT31, cunoscut si sub numele de Judgment Panda şi Zirconium.
Investigaţia a dezvăluit utilizarea implanturilor avansate concepute pentru acces la distanţă şi au atestat cunostinţele si expertiza extinse ale atacatorilor în evitarea măsurilor de securitate. Aceste implanturi au permis stabilirea de canale persistente pentru exfiltrarea datelor, inclusiv din sisteme de înalta securitate.
În special, atacatorii au folosit din nou tehnicile DLL Hijacking (adica abuzează de executabile legitime de la terţi, care sunt susceptibile să incarce baze de date cu legaturi dinamice rău intentionate în memoria lor) pentru a încerca să evite detectarea în timp ce ruleaza mai multe implanturi utilizate în timpul celor 3 etape de atac.
Serviciile de stocare a datelor bazate pe cloud, cum ar fi Dropbox, precum şi platformele temporare de partajare a fisierelor, au fost folosite pentru a exfiltra datele şi a livra ulterior programe malware. De asemenea, au implementat infrastructura de comandă şi control (C2) pe Yandex Cloud, precum şi pe servere private virtuale (VPS) obişnuite, pentru a menţine controlul asupra reţelelor compromise.
În cadrul acestor atacuri, au fost implementate noi variante ale malware-ului FourteenHi. Descoperită initţal în 2021 în timpul campaniei ExCone care vizează entităţile guvernamentale, această familie de malware a evoluat de atunci cu noi variante care au apărut în 2022 pentru a viza in mod specific infrastructura organizaţiilor industriale.
În plus, în timpul investigatiei a fost descoperit un nou implant de malware, numit MeatBall. Acest implant de tip backdoor are capacitati extinse de acces la distanţ
Pentru a vă proteja computerele OT de diferite ameninţări, experţii Kaspersky recomandă: efectuarea de evaluari regulate de securitate a sistemelor OT pentru a identifica şi elimina posibilele probleme de securitate cibernetică ;stabilirea evaluării şi triajului continuu în ceea ce priveşte vulnerabilităţile, ca bază pentru un proces eficient de gestionare a acestora. Soluţiile dedicate precum Kaspersky Industrial CyberSecurity pot deveni un asistent eficient şi o sursa de informaţii unice care pot fi acţionate, nefiind complet disponibile public; efectuarea de actualizari în timp util pentru componentele cheie ale retelei OT a companiei; aplicarea de corecţii si patch-uri de securitate sau implementarea măsurilor compensatorii, de îndată ce este posibil din punct de vedere tehnic, sunt masuri cruciale pentru prevenirea unui incident major care ar putea costa milioane de euro din cauza intreruperii procesului de producţie ; utilizarea soluţiilor EDR, precum Kaspersky Endpoint Detection and Response, pentru detectarea în timp util a ameninţărilor sofisticate, investigarea şi remedierea în mod eficient a incidentelor ; îmbunatăţirea răspunsului la tehnici rău intenţionate noi şi avansate prin construirea şi consolidarea abilitatilor de prevenire, detectare şi raspuns ale echipelor dumnevoastră de gestionare a incidentelor. Sesiunile de training dedicate securitatii OT pentru echipele de securitate IT şi personalul OT reprezintă una dintre măsurile cheie care ajută la realizarea acestui lucru.