Zero
Aryut, Getty Images/iStockphoto
Gli hacker continuano a tentare di ottenere l’accesso alle reti dell’energia nucleare, le imprese e gli altri operatori coinvolti infrastrutture nazionali critiche, sollevando preoccupazioni per il cyber-spionaggio e sabotaggio.
Un rapporto compilato dall’FBI e il Dipartimento della Homeland Security (DHS) ha avvertito di un corso di hacking campagna che ha visto gli aggressori si infiltrano le reti di potere aziende e gli altri di rubare i dettagli dei loro sistemi di controllo, tra cui le informazioni provenienti dai sistemi di controllo interno di produzione di energia da impianti.
Gli hacker hanno preso di mira il sistemi di agenzie governative e le imprese che lavorano in energia, il nucleare, l’acqua, l’aviazione, e critica settori produttivi, secondo il rapporto.
Mentre è noto da tempo che stato eseguito gli hacker sono interessati ad accedere a infrastrutture critiche, il rapporto fornisce uno dei più dettagliate guarda come stato-backed gli hacker stanno cercando di raccogliere dati su infrastrutture nazionali critiche attraverso un sofisticato e multi-fase di progetto.
Dettagli come gli hacker lavorare la loro strada attraverso la catena di approvvigionamento per queste grandi aziende, a partire da attaccare piccole imprese con un basso livello di sicurezza e reti di piccole dimensioni, che vengono poi utilizzati come un primo passo verso le reti di “grande, alto valore di asset proprietari all’interno del settore energetico”.
Il DHS ha detto queste infiltrazioni sforzi sono in corso, e gli attaccanti “attivamente perseguire i loro obiettivi sopra una campagna a lungo termine.” Si dice che, in alcuni casi, gli hacker sono riusciti a compromettere le loro vittime’ delle reti.
Il settore dell’energia è diventata una zona di maggiore interesse per gli aggressori di recente, a partire con l’ucraino blackout nel 2015 e il 2016, che sono stati incolpati su hacker, più più recenti segnalazioni di tentativi di infiltrarsi nelle reti di aziende del settore in Europa e negli stati UNITI.
Pur di non speculare sulle motivazioni degli hacker dietro questa ultima campagna, il rapporto ha avvertito: “Storicamente, la minaccia di cyber attori hanno preso di mira il settore energetico con vari risultati, che vanno da cyber spionaggio per la capacità di interferire con sistemi di energia in caso di ostile conflitto. Storicamente, minaccia attori hanno colpito anche altri settori delle infrastrutture critiche con altre campagne simili.”
I ricercatori hanno da tempo messo in guardia circa una maggiore attività da parte di hacker – da diversi paesi del mondo – probing sistemi e delle reti dei loro rivali per le vulnerabilità che potrebbero essere sfruttate in una data successiva, la mappatura dei punti di debolezza che potrebbe essere utilizzato in qualsiasi potenziale futuro cyberwar conflitto.
Gli attacchi sono costituiti da un certo numero di fasi. Secondo l’analisi, pubblicata dal computer emergency response team (CERT), l’iniziale vittime di hacking campagna sono fornitori con meno reti sicure.
Il DHS ha detto che gli hacker sembrano aver deliberatamente scelto di aziende target con le relazioni esistenti con molti degli attuali obiettivi previsti, probabilmente scoprire questo attraverso le informazioni pubblicamente disponibili.
Gli hacker sono anche alla ricerca di informazioni sulla rete e la progettazione organizzativa, nonché del sistema di controllo funzionalità, e spesso le aziende dare via informazioni sensibili per errore. In un caso, gli hacker scaricato un apparentemente innocuo piccola foto da un’pubblicamente accessibili le risorse umane pagina, CERT detto.
“L’immagine, una volta espansa, era una foto ad alta risoluzione che ha visualizzato i sistemi di controllo di apparecchiature modelli e le informazioni di stato in background.”
Dopo aver individuato gli obiettivi degli hacker, per poi iniziare una campagna di spear-phishing per tentare di ottenere i dettagli di utenti, che potrebbero poi essere utilizzati per cercare di craccare le password hacker potrebbe utilizzare per mascherarsi come utenti autorizzati.
Gli aggressori leggermente diverse spear-phishing e-mail campagna contro le reti di destinazione, che comprendeva oggetto “ACCORDO e Confidenziale”, e che il contenuto di un documento PDF. Un link nel PDF richiede che il lettore clicca su un link per un download non inizia automaticamente, tuttavia, così facendo si sarebbe in realtà il download di malware. Tutte le e-mail di cui all’comuni sistemi di controllo industriale, apparecchiature o sistemi di controllo di processo, che riflette gli interessi degli attaccanti.
La campagna ha inoltre utilizzato i siti web di riviste e siti di informazione come un modo per scavalcare sulle reti di loro obiettivo finale, da alterata loro per contenuti dannosi.
Una volta all’interno della rete di destinazione, gli hacker hanno cercato di file server che appartengono alla loro vittima designata, la ricerca di file su sistemi industriali di controllo o il Controllo di Supervisione e Acquisizione Dati (SCADA) sistemi, come ad esempio i file di menzionare i nomi del fornitore o dei documenti di riferimento con nomi come ‘SCADA Schema di Cablaggio’ o ‘SCADA pannello di layout.
Non è del tutto chiaro chi c’è dietro l’attacco. L’analisi descrive gli hacker dietro come un ‘advanced persistent threat’ una frase di solito utilizzato per fare riferimento a cyber-attaccanti con finanziamenti statali. Il CERT avviso fa riferimento anche il lavoro svolto dalla società di sicurezza Symantec, che si riferisce agli aggressori sono ‘Libellula’ – un gruppo precedentemente conosciuto come ‘Energetic Bear’. Symantec ha detto che la campagna ha le caratteristiche di un statali per il funzionamento, la visualizzazione di un alto livello di capacità tecniche.
“Il gruppo e di risorse, con una gamma di malware strumenti a sua disposizione, ed è in grado di lanciare attacchi attraverso molteplici vettori di attacco, mentre compromettere numerosi siti web di terze parti nel processo. Il suo motivo principale sembra essere il cyber spionaggio, con un potenziale per il sabotaggio di un preciso secondaria di capacità.”
Il gruppo è stato incolpato per gli attacchi contro il settore energetico, andando indietro di almeno il 2011 secondo Symantec. Energetica Orso è generalmente pensato per essere un gruppo di hacker russi, ma la società di sicurezza ha anche osservato che, mentre alcune stringhe di codice del malware utilizzato dal gruppo erano in russo, gli altri erano in francese, “che indica che una di queste lingue può essere un false flag”.
Più preoccupante è il fatto che la società di sicurezza ha notato che il sabotaggio attacchi sono di solito preceduto da un’intelligenza fase di raccolta dove gli aggressori raccogliere informazioni circa la destinazione di reti e di sistemi e di acquisire le credenziali che verranno utilizzati nelle successive campagne. L’azienda ha avvertito che questa nuova campagna potrebbe significare che gli aggressori possono essere entrata in una nuova fase, “con le recenti campagne potenzialmente fornendo loro accesso ai sistemi operativi, di accesso che potrebbe essere utilizzato per più dirompenti scopi in futuro”.
Symantec precedente relazione ha detto che “la maggior parte riguardante la prova di questa” è stato l’uso di cattura schermo, a quanto pare l’acquisizione dei dati dai sistemi operativi. Il CERT rapporto va più nel dettaglio, osservando che: “In un caso, la minaccia attori accedere workstation e server in una rete aziendale che conteneva i dati in uscita dai sistemi di controllo interno per la generazione di energia, e le immagini scattate da esso. Il CERT report include anche una serie di raccomandazioni per le aziende di implementare per proteggersi dagli attacchi.
LEGGI DI PIÙ SU CYBERWAR
I governi e gli stati-nazione sono ora ufficialmente di formazione per la guerra cibernetica: Un interno lookThe nuova arte della guerra: Come troll, hacker e spie stanno riscrivendo le regole della conflictInside il segreto digitale braccia di gara: di Fronte alla minaccia di un globale cyberwarThe undercover guerra su internet segreti: Come la sorveglianza online incrinato la nostra fiducia in webThe impossibile compito di contare nel mondo cyber armiesCybercrime e cyberwar: Uno spotter guida per i gruppi che sono fuori per ottenere la youIn la zona grigia tra spionaggio e cyberwarNSA capo: Questa è la cosa peggiore attacco scenario sembra
0