Noll
Aryut, Getty Images/iStockphoto
Hackare fortsätter att försöka få tillgång till nätverk av kärnkraft företag och andra som sysslar med kritisk nationell infrastruktur, frågor om cyber-spionage och sabotage.
En rapport som sammanställts av FBI och Department of Homeland Security (DHS) har varnat för ett pågående dataintrång kampanj som har sett en angripare infiltrera nätverk av företag och andra att stjäla information om deras kontrollsystem, inklusive information från styrsystem inom energi-anläggningar generation.
Hackare riktar det system av myndigheter och företag som arbetar inom energi -, kärn -, vatten -, flyg -, och kritiska sektorer, enligt rapporten.
Även om det har länge varit känt att statligt stöd hackare är angelägna om att få tillgång till kritisk infrastruktur, rapport ger en av de mest detaljerade ser på hur statligt stöd hackare försöker samla in uppgifter om kritiska nationell infrastruktur genom en sofistikerad och multi-stage-projektet.
Den beskriver hur hackare arbetar sig genom leveranskedjan för dessa stora företag, att starta genom att attackera små företag med låg säkerhet och små nätverk, som sedan används som en språngbräda in i det nätverk av “stora, högt värde tillgångar ägare inom energisektorn”.
DHS sade dessa infiltration insatserna är pågående, och angriparna är “aktivt för att uppnå sitt ultimata mål över en längre kampanj.” Det sägs att i vissa fall hackare har lyckats med att angripa sina offer ” – nätverk.
Energi-sektor har blivit ett ökat intresse för it angripare nyligen, börjar med den ukrainska strömavbrott 2015 och 2016, som var att skylla på hackare, plus flera nya rapporter om försök att infiltrera nätverk av kraftbolagen i Europa och USA.
Även om det inte spekulera om motiven för hackare bakom denna senaste kampanj, rapport varnade: “Historiskt, it-hot aktörer har riktat energisektorn, med olika resultat, allt från it-spionage till förmågan att störa energisystem i händelse av en fientlig konflikt. Historiskt, hot aktörer har också riktat annan viktig infrastruktur sektorer med liknande kampanjer.”
Forskare har länge varnat för en ökad aktivitet från hackare, från många olika länder – probe-system och nätverk av sina konkurrenter för sårbarheter som kan utnyttjas vid en senare tidpunkt, att kartlägga svagheter som skulle kunna användas i eventuella framtida cyberkrig konflikt.
Attackerna består av ett antal steg. Enligt analysen, som publicerades av det AMERIKANSKA computer emergency response team (CERT), de första offren för dataintrång kampanj är leverantörer med mindre säkra nätverk.
DHS sa hackare verkar har medvetet valt att rikta företag med befintliga relationer med många av de faktiska avsedda målen, de flesta sannolikt kommer att upptäcka detta genom allmänt tillgänglig information.
Hackare är också ute efter information om nätverket och organisatoriska utformning, samt kontroll av systemet resurser, och ofta företag ger bort en sådan känslig information av misstag. I ett fall, hackarna hämtade en till synes ofarlig liten bild från en offentligt tillgänglig mänskliga resurser sidan, CERT sagt.
“Bilden, när utvidgas, var en högupplöst bild som visas kontrollsystem utrustning modeller och statusinformation i bakgrunden.”
Efter att identifiera mål för hackare att sedan börja en spearphishing kampanj för att försöka få information om användare, som sedan kan användas för att försöka knäcka lösenord hackare kan använda för att maskera sig som behörig användare.
Angriparna använder en något annan spear-phishing e-post kampanj mot mål nätverk, som ingår ämnesraden “AVTAL & Konfidentiellt”, och som innehöll ett PDF-dokument. En länk till en PDF uppmanas läsaren att klicka på en länk bör en nedladdning inte automatiskt att börja, men att göra så faktiskt skulle hämta skadlig programvara. Alla e-post som avses gemensamma industriella styrsystem, utrustning eller process control system, vilket återspeglar intressen av angriparna.
Kampanjen används också webbplatser för handel publikationer och webbplatser med information som ett sätt att hoppa på det nätverk av deras slutliga mål, genom förändrade dem innehålla skadliga innehåll.
Väl inne i mål nätverk, hackare sökte fil servrar som tillhör sina tilltänkta offer, letar efter filer om att industriella styrsystem eller Övervakande Kontroll och Data Acquisition (SCADA) system, till exempel filer nämna säljarens namn eller en referens dokument med namn som “SCADA-Wiring Diagram “eller” SCADA-panel layouter’.
Det är inte helt klart vem som ligger bakom attacken. Analysen beskriver hackare bakom den som “advanced persistent threat’, en fras som vanligtvis används för att hänvisa till cyber-anfallare med statligt stöd. CERT alert referenser också arbete som utförs av säkerhetsföretaget Symantec, som hänvisar till angriparna ‘Trollslända’ – en grupp tidigare känd som “Energisk Bear”. Symantec sade kampanj bär kännetecken av ett statligt sponsrad verksamhet, och uppvisar en hög grad av teknisk kompetens.
“Gruppen är väl dimensionerad, med ett utbud av skadlig programvara verktyg till sitt förfogande och kan starta attacker genom flera olika angreppsvinklar medan kompromissa många webbplatser från tredje part i processen. Dess viktigaste motivet verkar vara it-spionage, med potential att sabotera en bestämd sekundär förmåga.”
Gruppen har fått skulden för attackerna på energisektorn går tillbaka till åtminstone 2011 enligt Symantec. Energisk Björnen är i allmänhet tänkt att vara en rysk hacka gruppen, men den säkerhet som bolaget också noteras att även om en del kod strängar på skadlig kod som används av gruppen var på ryska, andra var på franska, “vilket tyder på att något av dessa språk kan vara en false flag”.
Mer oroande, den säkerhet som bolaget noteras att sabotage attacker är normalt föregås av en underrättelseverksamhet fas där angripare samla in information om mål nätverk och system och skaffa sig meriter som kommer att användas i senare utskick. Företaget varnat för att denna nya kampanj kan innebära en anfallare kan vara på väg in i en ny fas “med senaste kampanjer som kan ge dem tillgång till operativa system, tillgång som kan användas till mer störande ändamål i framtiden”.
Symantec tidigare rapporten “mest om bevis för detta” var användningen av skärmdumpar, tydligen fånga data från operativa system. CERT rapport går in mer i detalj, som konstaterar att: “I en instans, hot aktörer nås arbetsstationer och servrar på ett företagsnätverk som innehöll utmatning av data från styrsystem inom energiproduktion faciliteter,” och fångade bilder från det. CERT rapporten innehåller också ett antal rekommendationer för företag att genomföra för att skydda sig från angrepp.
LÄS MER OM CYBERKRIG
Regeringar och stater är nu officiellt utbildning för cyberwarfare: En inne lookThe ny art of war: Hur troll, hackare och spioner skriva regler conflictInside den hemliga digital kapprustning: Inför hotet om en global cyberwarThe undercover krig på din internet hemligheter: Hur övervakning på nätet knäckt vårt förtroende i webThe omöjlig uppgift att räkna upp världens cyber armiesCybercrime och cyberkrig: En spotter guide till de grupper som är ute efter att få dig i gråzonen mellan spionage och cyberwarNSA chef: Detta är vad ett värsta-fall cyberattack scenario ser ut som
0