Technology, industry

Angreb på industriel infrastruktur stiger med hast

En Dragos-rapport viser, at nye og gamle trusselsaktører har potentiale til at forårsage store forstyrrelser af kritisk infrastruktur.

Det sidste år oplevede en stigning i raffinementet og antallet af angreb rettet mod industriel infrastruktur, herunder opdagelsen af et modulært malware-værktøjssæt, der er i stand til at målrette mod titusinder af industrielle kontrolsystemer (ICS) på tværs af forskellige branchevertikaler. Samtidig viste hændelsesresponsengagementer fra det industrielle cybersikkerhedsfirma Dragos, at 80% af de berørte miljøer manglede synlighed i ICS-trafik, og halvdelen havde netværkssegmenteringsproblemer og ukontrollerede eksterne forbindelser til deres OT-netværk.

“En række af de trusler, som Dragos sporer, kan udvikle deres forstyrrende og destruktive evner i fremtiden, fordi modstandere ofte udfører omfattende forskning og udvikling (F &U) og bygger deres programmer og kampagner over tid,” sagde Dragos-forskerne i en nyligt udgivet årsrapport. “Denne R&D informerer deres fremtidige kampagner og øger i sidste ende deres forstyrrende evner.”

Aktive ICS-trusselsgrupper spores

Dragos har sporet i alt 20 separate trusselgrupper, der har været målrettet mod industrielle infrastrukturorganisationer siden 2020. Sidste år var otte af disse grupper aktive, herunder to nye, som virksomheden har døbt Chernovite og Bentonite.

Af disse to er Chernovite den klare skiller sig ud og udviser aspekter af både fase 1 og 2 i ICS Cyber Kill Chain: Trin 1 er den indledende indtrængen og rekognosceringsaktivitet, der gør det muligt for en angriber at indsamle oplysninger om et OT-miljø, der ville hjælpe dem med at udvikle kapaciteter til at målrette mod en bestemt ICS-implementering, mens fase 2 er våbenisering af de oplysninger, der indsamles i fase 1 med udvikling af kapaciteter til faktisk at påvirke ICS.

Chernovite er gruppen bag en meget sofistikeret malware-platform, der er i stand til at angribe industrielle kontrolsystemer, som Dragos kalder Pipedream, men som cybersikkerhedsfirmaet Mandiant kalder Incontroller. Denne malware blev opdaget i begyndelsen af 2022 og menes at være udviklet af en statslig aktør. Mens Dragos ikke foretager angrebsvurderingsvurderinger, bemærkede Mandiant, at det er i overensstemmelse med Ruslands historiske interesse i ICS, men at beviserne er indicier.

Pipedream eller Incontroller blev opdaget, før den blev “ansat”, hvilket betyder, at angriberne ikke nåede at trykke på aftrækkeren, før den blev fundet, men de kom meget tæt på, sagde Robert M. Lee, administrerende direktør og medstifter af Dragos under en pressebriefing. Efter hans mening fik malware ikke den opmærksomhed, den fortjente, sandsynligvis fordi den blev fundet, før den forårsagede nogen skade, men det malware har meget effektive forstyrrende og destruktive kapaciteter, og det var det tætteste, vi nogensinde kom på amerikansk og europæisk infrastruktur, der gik offline.

“Jeg vil ikke hype noget, men jeg tror, at en stor del af samfundet bevægede sig hurtigt forbi det, fordi der ikke var et stort angreb,” sagde han. “Det var ikke en kolonial rørledning. Det var ikke Ukraine Electric. Så der skete ikke noget, men jeg tror ikke, folk forstår, hvor tæt det var på at ske.”

Det menes, at Chernovite var målrettet mod omkring et dusin vigtige elektriske og flydende naturgassteder, men malwareens muligheder er på ingen måde begrænset til disse industrier. Faktisk er Pipedream den første ICS-malware nogensinde, der udnytter indbygget funktionalitet i nogle af de mest udbredte ICS-protokoller, herunder dem, der bruges af Schneider Electric, Omron, CODESYS PLC’er samt alle PLC’er, der understøtter OPC Unified Architecture (OPC UA) -standarden.

Med andre ord, alt hvad en operatør kan gøre over disse protokoller, malware kan gøre. Ifølge Lee er det på nogle måder mere imponerende end nogen teknisk arbejdsstationssoftware, som en bestemt leverandør har, fordi denne software kun fungerer med PLC’er fra den specifikke leverandør, men Pipedream kan arbejde med dem alle.

“Det er meget imponerende,” sagde Lee. “Så det blev oprindeligt designet til at målrette mod 15 specifikke typer enheder, men den måde, det foregår på, kan fungere på tværs af tusindvis af forskellige controllere og ting, der er implementeret i samfundet, hundredvis af forskellige leverandører og i stort set alle sektorer derude.”

Det værste er, at der ikke er nogen sårbarhed over for patch, da det hele for det meste er native funktionalitet. Dragos forventer fuldt ud at se denne malware implementeret igen, og der er ingen nem løsning. Organisationer, der kun fokuserer på forebyggelse og ikke også gør detektion og reaktion, har en nul chance mod denne modstander, sagde Lee

“Vi har meget mindre synlighed, end folk er klar over, globalt,” sagde Lee. “Jeg vil sige, at måske 5% af den globale infrastruktur overvåges. Hvis alle vores bestræbelser går på at forhindre angreb, men 5% af virksomhederne faktisk kigger ind i huset, så vil du ikke se så meget af truslerne, som du gerne vil. Jeg vil sige, at vi opererer lidt på det 5% vindue, og vi finder stadig en hel del ret skræmmende ting.

Bentonite, den anden trusselsaktør, der er ny og blev opdaget i 2022, har i øjeblikket kun vist fase 1-funktioner. Gruppen er primært rettet mod fremstillings- og olie- og gasindustrien, men synes at være opportunistisk med hensyn til de organisationer, den vælger, der drager fordel af enhver udsat fjernadgangsforbindelse, de finder, eller ved at udnytte internetvendte aktiver Gruppens malwareimplantat er ikke bemærkelsesværdig. Dragos advarer dog om, at gruppen er smart og indsamler oplysninger, der gør det muligt for den at flytte ind i OT-netværk i fremtiden, såsom diagrammer over industrielt udstyr eller data om fysiske processer.

En anden gruppe, der stadig var aktiv i 2022, var Kostovite, en gruppe, der oprindeligt blev opdaget i 2021, der har demonstreret en evne til at udføre lateral bevægelse og nå OT- og ICS-netværk. Det udnytter ofte virksomhedens perimetermiljøer og kan bruge nul-dages sårbarheder. Det opretholder dedikeret infrastruktur pr. mål, og der er tegn på, at det kan have nogle overlapninger med APT5, en af de ældste Kina-baserede cyberspionagegrupper.

Kamacite og Electrum erto grupper, der fortsatte deres aktiviteter og er forbundet med Sandworm, som menes at være en enhed af den russiske militære efterretningstjeneste (GRU). Sandword har været ansvarlig for destruktive angreb med NotPetya-malware, for flere angreb mod det ukrainske elnet ved hjælp af BlackEngery- og Industroyer-malware-programmerne. Kamacite menes at være et team, der fokuserer på at få indledende adgang til netværk ved hjælp af et implantat kaldet Cyclops Blink og derefter videregive denne adgang til Electrum, som normalt har til opgave at forårsage en destruktiv virkning. Kamacite er blevet set rettet mod infrastruktur i Europa, Ukraine og USA.

Xenomite er en anden ældre gruppe, der forbliver aktiv og synes fokuseret på at målrette elektriske og olie- og gasorganisationer i Mellemøsten og USA, og dens mål ser ud til at være omhyggeligt udvalgt og har forbindelser mellem dem. Dette tyder på en nuanceret forståelse af olie- og gasindustrien fra ikke-offentlige kilder, der gør det muligt for gruppen at identificere trykpunkter.

Xenomite er den gruppe, der udviklede Triton, en malware-ramme, der er i stand til at deaktivere Trisis-instrumenterede sikkerhedssystemer (SIS), der blev brugt af en organisation i Saudi-Arabien i 2017. Dette gør Xenomite til en af de grupper, der har en dokumenteret motivation og evne til at ødelægge kritisk infrastruktur.

Erythrite er en fase 1-gruppe, der bruger mindre sofistikerede teknikker såsom søgemaskineoptimering (SEO) forgiftning og brugerdefineret malware. Gruppen er fokuseret på tyveri af data og legitimationsoplysninger, men dens store aktiviteter, især rettet mod fremstillingssektoren, er bekymrende. Dens mål omfatter omkring 20% af Fortune 500-virksomhederne og er for det meste placeret i USA og Canada. Gruppen er en særlig stor trussel mod organisationer med dårlig netværkssegmentering mellem IT og OT, sagde Dragos.

Endelig er Wassonite en fase 1-gruppe, der synes at have fokus på atomkraft, el, olie og gas, avanceret fremstilling, farmaceutiske og luftfartsindustrier primært fra Syd- og Østasien. Gruppen bruger DTrack- og AppleSeed-fjernadgangstrojanerne, der distribueres gennem spear phishing-lokker, der er tilpasset specifikke brancher og organisationer.

Ud over de målrettede trusler fra disse grupper bemærker Dragos også, at ransomware-angreb mod industrielle organisationer steg med 87% sidste år, hvor fremstilling var den mest påvirkede sektor. LockBit var ansvarlig for det højeste antal angreb, efterfulgt af den nu hedengangne Conti ransomware-gruppe, Black Basta og Hive.

ICS sårbarheder og blinde vinkler

Antallet af sårbarheder specifikt for ICS-relateret hardware og software steg med 27% fra 2021, men dette tegner ikke hele billedet, da ikke alle sårbarheder er ens, især i ICS-rummet.

Som sådan udførte Dragos en dybere risikovurdering af disse sårbarheder og fandt ud af, at 15% var i enheder, der grænser op til virksomhedsnetværk, og 85% var dybt inde i ICS-netværk. Desuden førte halvdelen ikke til hverken tab af synlighed eller kontrol, og halvdelen gjorde det. Det større problem er, at i en sektor, hvor patching ofte involverer lukning af operationer og kritiske enheder, er aktivejere stærkt afhængige af afbødning, og af de 70% af leverandørrådgivningerne, der leverede patches, indeholdt 51% ingen afbødningsrådgivning. Yderligere 30% af rådgivningerne havde ikke en patch, og 16% af dem havde ingen praktisk afbødning.

I 34% af leverandørrådgivningerne fandt Dragos forkerte data såsom forkerte softwarenumre, forkerte hardwaremodeller, forkerte versioner og så videre. Virksomheden vurderer, at sværhedsgraden burde have været højere end den, som sælgeren tildelte i 70% af tilfældene og lavere i 30% af tilfældene.

Den gode nyhed er, at baseret på Dragos ‘risikovurdering, der nedbryder sårbarheder i patch nu, patch i den næste cyklus, eller burde være ligeglad med det, falder kun 2% i patch nu-kategorien. Yderligere 95% kan forsinkes indtil næste vedligeholdelsescyklus og afbødes med netværkssegmentering, overvågning og måske multifaktorautentificering i mellemtiden. Tre procent er enten hypede eller helt forkerte og falder i den sidste kategori.

Fra sikkerhedsvurderinger udført af virksomheden var det mest almindelige problem manglende synlighed i ICS-miljøet, hvor 80% af kunderne havde begrænset OT-synlighed. Dette er dog et fald på 6% fra året før, så der er en forbedring. Halvdelen af kunderne havde problemer med netværkssegmentering, et fald på 27% og 53% havde uoplyste eller ukontrollerede forbindelser til deres OT-netværk, et fald på 17% i forhold til det foregående år. Mens situationen stadig ikke er stor på tværs af branchen, er et område, der ser ud til at blive værre, manglen på brugerstyringsadskillelse mellem IT og OT, hvilket er tilfældet for 54% af organisationerne, en stigning på 10% fra 2021.

“Det er en af de ting, vi ser i et væld af ransomware-sager, hvor ransomware-aktørerne og målretter mod it-netværket, befolker ransomware ud gennem Active Directory-domænecontrolleren, og så kommer det bare ind i driftsnetværkene, selvom det ikke var deres mål via de delte legitimationsoplysninger,” sagde Lee.

Et af de mest bekymrende fund er, at 80% af de vurderede kunder stadig ikke har synlighed i deres ICS-systemer, og det er 80% af organisationer, der er relativt modne og engagerer sig i organisationer som Dragos. Tallet er sandsynligvis højere.

“Hvis du ikke ved, hvad du har, har du ingen idé om, hvor mange aktiver du har, hvordan de er forbundet, hvem der opretter forbindelse til dem, nogen form for detektion, du vil aldrig få grundårsagsanalyse eller forstå, hvad der gik galt eller være i stand til at opdage modstandere,” sagde Lee. “Og når mere end 80% i gennemsnit slet ikke kan gøre det – når du taler om kritisk infrastruktur og rørledninger i dette land – er det selvfølgelig en bekymring.”

Kilde: CSO

Foto: Pexels

Cybersikkerhed & Nyheder

Gratis Log4J scannere til test af LOG4SHELL sikkerhedshullet
| | | |

Gratis Log4J scannere til test af LOG4SHELL sikkerhedshullet

afMichael Rasmussen Cybersecurity, LOG4J, LOG4SHELL, Penetrationstest, Ransomware

Vi har prøvet at lave en komplet liste (nye kommer til hver time) over scanner, web eller runtime systemer til at detektere en af de værste sikkerhedshuller i mands minde nemlig Apaches LOG4SHELL. Sikkerhedshullet er under aktiv udnyttelse blandt hackere at vi anbefaler at slukke for systemer og patche til den seneste version 2.3.2, og…

Danmark tager ikke Cybersecurity seriøst, viser ny undersøgelse fra FN agenturet ITU

Danmark tager ikke Cybersecurity seriøst, viser ny undersøgelse fra FN agenturet ITU

afMichael Rasmussen Uncategorized

Danmark er nr. 32 i en ny måling kaldet Global Cybersecurity Index. Det er lige efter Kasakhstan og det er ganske enkelt en for dårlig placering. For selve undersøgelsen der nu er kommet i version 5, står FN-agenturet International Telecommunication Union (ITU). De 31 lande, der får bedre karakterer end Danmark, er, i ordnet rækkefølge:…

16 Bluetooth sikkerhedshuller (BrakTooth) muliggør inficering af telefoner i nærheden og overvågnings-software
| | | |

16 Bluetooth sikkerhedshuller (BrakTooth) muliggør inficering af telefoner i nærheden og overvågnings-software

afMichael Rasmussen Bluetooth, Braktooth, Cybersecurity, IT-Sikkerhed, Overvågningssoftware

Forskere har udgivet offentlig udnytte kode og ikke mindst et sæt proof of concept værktøj til at teste Bluetooth-enheder mod System-on-a-Chip (SoC) sikkerhedsfejl der påvirker flere leverandører, herunder Intel, Qualcomm, Texas Instruments, og Cypress. Samlet kendt som BrakTooth, indvirker disse 16 fejl på kommercielle Bluetooth stakke i mere end over 1.400 forskellige chipsæt, der anvendes…

BlackCat
| | | | |

BlackCat (ALPHV) ransomware knyttet til BlackMatter, DarkSide bander

afHenning Sand Sørensen BlackCat, Cybersikkerhed, Hacking, Kryptering, Ransomware, REVIL

Black Cat ransomware banden, også kendt som ALPHV, har bekræftet, at de er tidligere medlemmer af den berygtede BlackMatter/ DarkSide ransomware operation. BlackCat/ALPHV er en ny funktionsrig ransomware operation ny, der blev lanceret i november 2021 og udviklet i Rust-programmeringssproget, hvilket er usædvanligt for ransomware-infektioner. Ransomwaren er tilpasset med forskellige krypteringsmetoder og muligheder giver mulighed…

Spyware - Northkorea
| | | | | | | |

Nordkorea bruger ny “Dolphin” bagdør til at spionere på sydkoreanske mål

afHenning Sand Sørensen BLUELIGHT, Dolphin, GOLDBACKDOOR, Hacking, Industri Spionage, Overvågningssoftware, ScarCruft, Spionage, Spyware

Den Nordkorea-forbundne ScarCruft-gruppe er blevet tilskrevet en tidligere udokumenteret bagdør kaldet Dolphin, som trusselsaktøren har brugt mod mål i sit sydlige modstykke. “Bagdøren […] har en bred vifte af spioneringsfunktioner, herunder overvågning af drev og bærbare enheder og exfiltrering af filer af interesse, keylogging og optagelse af skærmbilleder og stjæle legitimationsoplysninger fra browsere,” sagde ESET-forsker…

Palestinian Hackers Use New NimbleMamba
| | | |

Hackere implementerer ny malware-kampagne

afHenning Sand Sørensen Cybersecurity, Hacking, Kryptering, Ransomware, TA402

Den palæstinensiske APT-gruppe TA402, også kendt som Molerats blev spottet ved hjælp af et nyt implantat ved navn NimbleMamba i en cyberspionagekampagne, der udnytter geofencing og URL-omdirigeringer til legitime websteder. Kampagnen blev opdaget af Proofpoint, hvis analytikere observerede tre variationer af smittekæden, der alle var rettet mod regeringer i mellemøstlige lande, udenrigspolitiske tænketanke og et…