Gartner capacidades críticas para backup endpoint empresa
Pesquisadores de segurança descobriram uma série de ataques baseados em Tróia que se infiltraram vários alvos ao infectar o software do sistema de controle industrial dos fabricantes de sistemas SCADA e ICS.
A maioria das vítimas estão localizados na Europa, embora no momento em que escrevo engrenagem comprometida de pelo menos uma empresa dos EUA parece estar telefonar para casa a botnet servidores de controle criados pelos atacantes.
Duas das vítimas europeias são as principais instituições de ensino na França conhecida por pesquisas relacionadas à tecnologia; dois são de aplicação industrial ou máquina produtores alemães; um é um produtor de máquina industrial francês; e um é uma empresa de construção russa.
O motivo para os ataques - e muito menos a identidade dos seus autores - ainda não está claro.
Os ataques, que começaram no início deste ano, foram tirou usou o Havex propósito geral de Tróia de acesso remoto (RAT) e um servidor rodando PHP.
"Os atacantes têm [feito] de software infectado com trojans disponível para download a partir de sites fabricante ICS / SCADA em uma tentativa de infectar os computadores em que o software está instalado", empresa de software de segurança finlandesa F-Secure relatórios.
"Nós nos reunimos e analisados 88 variantes do RAT Havex usados para ganhar acesso e dados de colheita de redes e máquinas de interesse. Esta análise incluiu a investigação de 146 comando e controle (C & C) servidores contatados pelas variantes, que por sua vez envolvidos rastreamento cerca de 1.500 endereços IP, na tentativa de identificar as vítimas ".
Elementos do código malicioso são projetados para "colheita de dados" a partir de máquinas infectadas usadas em sistemas ICS / SCADA. Razões da F-Secure que isso significa que os atacantes desconhecidos estão a tomar medidas para dar-lhes o controle dos sistemas ICS / SCADA em diversas organizações, em vez de apenas usar sistema de controle vulnerável set-ups como um meio para se infiltrar em redes corporativas. Se for bem sucedido o ataque estabelece uma backdoor em redes comprometidas que pode ser facilmente usado para empurrar amostras secundárias de código malicioso.
Os meliantes por trás do ataque estão usando de terceiros sites comprometidos, principalmente blogs, como servidores de comando e controle.
O RAT Havex no centro do ataque é distribuído, quer através de e-mails de spam, explorar kits ou (muito mais invulgarmente) instaladores de tróia-laden plantadas em sites de fornecedores comprometidos.
"Parece que os atacantes abusar vulnerabilidades no software usados para executar os sites para quebrar e substituir instaladores de software legítimas disponíveis para download para os clientes", pesquisadores da F-Secure Daavid Hentunen e Antti Tikkanen explicar em um post de blog .
F-Secure descobriu três sites de fornecedores de software que foram hackeados para atuar como um canal para a distribuição de malware. As três empresas identificadas na Alemanha, Suíça e Bélgica estão envolvidos no desenvolvimento de aplicações e aparelhos para uso em aplicações industriais. Duas das empresas de fornecimento de software de gerenciamento remoto para sistemas de controle industrial, enquanto o terceiro se desenvolve de alta precisão câmeras industriais e softwares relacionados. Outras empresas poderiam facilmente ter sido atingido por eles mesmo ataque.
"Os atacantes por trás Havex estão realizando espionagem industrial usando um método inteligente. Instaladores de software Trojanising ICS / SCADA é um método eficaz em termos de acesso aos sistemas, potencialmente, até mesmo, incluindo infra-estrutura crítica como alvo", diz F-Secure.
"O método de utilização de servidores comprometidos como C & C do é típico para este grupo," F-Secure continua. "O grupo nem sempre consegue o C & C do de uma forma profissional, revelando a falta de experiência em operações. Conseguimos monitorar computadores infectados que conectam para os servidores e identificar as vítimas de diversos setores da indústria ".
"A carga adicional usado para coletar informações sobre hardware ICS / SCADA conectado a dispositivos infectados mostra os atacantes têm interesse direto no controle de tais ambientes", acrescentou ®.
Nenhum comentário:
Postar um comentário