Kompanija Kaspersky nedavno je završila istragu o sajber napadima usmerenim na industrijski sektor u istočnoj Evropi. Istraga je otkrila korišćenje naprednih taktika, tehnika i procedura (TTP) koje targetiraju industrijski sektor u regionu. Posebno su pogođeni proizvodni pogoni, inženjering i integracija, kao i industrijski sistemi kontrole (ICS), te je neophodno podizanje nivoa sajber bezbednosti i bolje pripremljenosti na ovakve vrste napada.

Tokom istrage, stručnjaci kompanije Kaspersky otkrili su niz ciljanih napada koji su trebali da uspostave stalne kanale za eksfiltraciju podataka. Ove kampanje su bile slične sa prethodno istraživanim napadima, poput ExCone i DexCone, što ukazuje na umešanost APT31 grupe, poznate i kao Judgement Panda i Zirconium.

Istraga je otkrila korišćenje naprednih implanta, dizajniranih tako da im se može daljinski pristupiti, što ukazuje  da akteri pretnji poseduju impozantno znanje i iskustvo u zaobilaženju bezbednosnih mera. Implanti su omogućili uspostavljanje rezistentnih kanala za eksfiltraciju podataka, čak i u prisustvu visoko bezbednosnih sistema.

Povezana vest:  Kaspersky Lab: Uloga očeva je krucijalna za digitalnu bezbednost dece

Značajno je da su akteri pretnji ponovo koristili DLL tehnike (zloupotreba legitimnih izvršnih fajlova trećih strana) kako bi pokušali da izbegnu detekciju dok pokreću više implanta tokom 3 faze napada.

Usluge skladištenja podataka u cloud-u kao što su Dropbox i Yandex Disk, kao i privremene platforme za deljenje datoteka, korišćene su za eksfiltriranje podataka i isporuku malvera. Takođe, korišćena je infrastruktura za komandu i kontrolu (C2) na Yandex Cloud-u, kao i na regularnim virtuelnim privatnim serverima (VPS), kako bi zadržali kontrolu nad ugroženim mrežama.

U okviru ovih napada, implementirane su nove varijante FourteenHi malvera. Prvobitno otkrivena 2021. godine tokom ExCone kampanje koda su ciljane državne ustanove, ova vrsta malvera je evoluirala. Nove varijacije su se pojavile 2022. godine, specifično namenjene za napad na industrijsku infrastrukturu.

Povezana vest:  Počela prodaja Samsung Galaxy S9 i S9+ u Srbiji

Pored toga, tokom istrage otkriven je novi malver implant, nazvan MeatBall koji poseduje široke mogućnosti daljinskog pristupa.

„Ne možemo potceniti rizike koje predstavljaju ciljani napadi sa kojima se suočavaju industrijski sektori. Kako organizacije nastavljaju da digitalizuju svoje poslovanje i oslanjaju se na međusobno povezane sisteme, neosporne su potencijalne posledice uspešnih napada na kritičnu infrastrukturu. Ova analiza naglašava urgentnost veće sajber bezbednosti u svrhu zaštite industrijske infrastrukture od sadašnjih i budućih pretnji“, komentariše Kirill Kruglov, viši istraživač bezbednosti u Kaspersky ICS CERT.

Ukoliko želite da pročitate ceo izveštaj o implantima prve faze, posetite ICS CERT.

Kako bi vaši OT kompjuteri bili adekvatno zaštićeni, stručnjaci kompanije Kaspersky preporučuju:

  • Sprovođenje redovnih bezbednosnih procena OT Sistema, kako bi se identifikovali i eliminisali mogući bezbednosni propusti.
  • Uspostavljanje kontinuirane procene i trijaže problema, kao osnove za efikasan proces upravljanja ranjivostima. Namenska rešenja poput Kaspersky Industrial CyberSecurity veoma su efikasna, a mogu da posluže i kao izvori informacija koje nisu u potpunosti dostupne javnosti.
  • Pravovremeno ažuriranje ključnih komponenti OT mreže preduzeća; primena bezbednosnih korekcija ili patch-eva čim je to tehnički moguće, ključno je za sprečavanje ozbiljnijeg incidenta koji bi mogao naneti veliku materijalnu štetu, jer bi došlo do zaustavljanja proizvodnje.
  • Korišćenje EDR rešenja poput Kaspersky Endpoint Detection and Response za blagovremeno otkrivanje sofisticiranih pretnji, istragu i efikasno otklanjanje incidenata.
  • Bolje reagovanje na nove, napredne maliciozne tehnike, kroz izgradnju i unapređenje veština timova u okviru kompanije koji su zaduženi za sprečavanje, otkrivanje i reagovanje na incidente. Namenski OT bezbednosni treninzi za IT bezbednosne timove i OT osoblje, jedna je od ključnih mera koje pomažu da se to postigne.
Povezana vest:  Lazarus koristi multi-platformski malverski okvir u nizu špijunažnih i ransomver napada