Top 5 razões para implantar VMware com Tegile
Sistemas de controle industrial nos Estados Unidos ter sido comprometida pelo kit de ferramentas de malware BlackEnergy por pelo menos três anos em uma campanha da Emergency Response Team US Computer apelidou "em curso" e sofisticado.
Atacantes tinha comprometido operadores de sistemas de controle industrial sem nome e implantado BlackEnergy em interfaces homem-máquina voltado para a Internet, incluindo os da GE Cimplicity, Advantech / Broadwin WebAccess, e Siemens WinCC.
Este último sistema foi muitas vezes utilizado por grandes operadores de plantas, incluindo instalação de urânio do Irã em Natanz, no momento em que foi metralhado por Stuxnet, são suspeitos no entanto os últimos ataques contra a plataforma, mas não confirmada.
O CERT não havia identificado tentativas de danificar ou interromper os processos do sistema, mas não tinha verificado se os hackers haviam rodado lateralmente através das redes vítima.
"No entanto, as implantações típicas de malware incluíram módulos que buscam quaisquer compartilhamentos de arquivos conectados em rede e mídias removíveis para o movimento lateral adicional dentro do ambiente afectado", o CERT escreveu .
"O malware é altamente modular e não toda a funcionalidade é implantado para todas as vítimas."
Muitos estavam executando a plataforma WebAccess Advantech / Broadwin com acesso à rede direta, mas o vetor de ataque ainda não tinha sido identificado.
Ataques contra Cimplicity estavam explorando CVE-2014-0751 , publicado pela CERT em janeiro.
Ele vem de um mês depois que os pesquisadores de malware finlandês avisou que a caixa crime a BlackEnergy estava sendo usado pelo grupo de hackers político Quedagh.
O kit modular foi atualizado pelo grupo ao longo dos últimos quatro anos para incluir suporte para servidores proxy, técnicas de desvio de controle de conta de usuário e recursos de assinatura de driver para sistemas Windows de 64 bits (que foi introduzido dentro de um mês do lançamento do Windows 8.1).
BlackEnergy foi detalhado pela primeira vez por Arbor Networks em 2007, como uma negação de serviço bot que em 2010 foi atualizado com a tecnologia rootkit, suporte para plugins, a execução remota de código, e exfiltração de dados. ®
Nenhum comentário:
Postar um comentário