Nul
Aryut, Getty Images/iStockphoto
Hackere er fortsat at forsøge at få adgang til de netværk af atomkraft virksomheder og andre, der er involveret med kritiske nationale infrastruktur, der giver anledning til bekymring om cyber-spionage og sabotage.
En rapport udarbejdet af FBI og det AMERIKANSKE Department of Homeland Security (DHS) har advaret af en igangværende hacking kampagne, der har set angribere, der infiltrerer netværk af el-selskaber og andre til at stjæle oplysninger om deres kontrolsystemer, herunder information fra kontrol-systemer inden for energi-generation faciliteter.
Hackere er rettet mod de systemer, offentlige institutioner og virksomheder, der arbejder inden for energi, atomkraft, vand -, luftfart, og kritisk fremstilling af sektorer, ifølge rapporten.
Mens det har længe været kendt, at state-backed hackere er ivrige efter at få adgang til kritisk infrastruktur, rapporten giver en af de mest detaljerede, der ser på, hvordan state-backed hackere forsøger at indsamle data om kritisk national infrastruktur gennem en sofistikeret og multi-fase-projektet.
Det giver detaljer om, hvordan hackere arbejder deres vej gennem forsyningskæden for disse store selskaber, der starter med at angribe små virksomheder med lav sikkerhed, og små netværk, som derefter bruges som et springbræt ind i det netværk af “store, høje værdi, aktivet ejere inden for energisektoren”.
DHS sagde disse infiltration der er bestræbelser i gang, og angriberne er “aktivt deres ultimative mål for en langsigtet kampagne.” Det siges, at i nogle tilfælde hackere har formået at gå på kompromis med deres ofre ” netværk.
Energisektoren er blevet et område af øget interesse for at cyber hackere for nylig, begyndende med den ukrainske strømafbrydelser i 2015 og 2016, som blev beskyldt for hackere, plus flere nye rapporter om forsøg på at infiltrere netværk af el-selskaber i Europa og USA.
Mens det ikke gisne om motiver af de hackere, der står bag denne seneste kampagne, rapporten advarede: “Historisk set, cyber trussel aktører har målrettet energisektoren med forskellige resultater, lige fra cyber-spionage, evnen til at forstyrre energi systemer i tilfælde af en fjendtlig konflikt. Historisk set trussel aktører har også målrettet andre sektorer med kritisk infrastruktur med lignende kampagner.”
Forskere har længe advaret om øget aktivitet fra hackere – fra mange forskellige lande – tast-systemer og netværk i deres rivaler til sårbarheder, der kan udnyttes på et senere tidspunkt, kortlægning svagheder, der kunne bruges i eventuelle fremtidige cyberkrig konflikt.
De angreb, der består af en række faser. Ifølge analysen, der blev offentliggjort af den AMERIKANSKE computer emergency response team (CERT), de første ofre for hacking kampagne er leverandører med mindre sikre netværk.
DHS sagde hackere har tilsyneladende bevidst har valgt at målrette mod virksomheder med en eksisterende relationer med mange af den faktiske bestemt mål, som mest sandsynligt opdage dette gennem offentligt tilgængelige oplysninger.
Hackere er også på udkig efter information om netværket og organisatoriske design, samt kontrol system kapaciteter, og ofte er virksomhederne give sådanne følsomme oplysninger ved en fejl. I ét tilfælde, hackere har hentet en tilsyneladende harmløs lille foto fra et offentligt tilgængelige menneskelige ressourcer, CERT sagde.
“Billedet, når udvidet, var en høj opløsning billede, der vises kontrolsystemer udstyr, modeller og oplysninger om status i baggrunden.”
Efter identifikation af mål for hackere, og derefter begynde en spearphishing kampagne for at forsøge at få oplysninger om brugerne, som derefter kunne bruges til at prøve at knække passwords hackere kan bruge til at maskerade som autoriserede brugere.
Angriberne bruge en lidt anden spear-phishing-e-mail kampagne mod mål netværk, som omfattede emnelinjen “AFTALEN & Fortroligt”, og som indeholdt et PDF-dokument. Et link i PDF beder læseren om at klikke på et link, bør en download ikke starter automatisk, men hvis du gør, så ville faktisk downloade malware. Alle de e-mails, der er omhandlet fælles industrielle kontrolsystemer, udstyr eller proces kontrol systemer, der afspejler de interesser angribere.
Kampagnen har også brugt den websites af faglige publikationer og oplysninger websteder som en måde at springe på netværk i deres endelige mål, som ændret dem til at indeholde skadeligt indhold.
Når du er inde i mål netværk, hackere har søgt efter fil-servere, der tilhører deres tilsigtede offer, man søger efter filer om industrielle kontrolsystemer eller Supervisory Control and Data Acquisition (SCADA) systemer, såsom filer nævne sælgeren navne eller reference dokumenter med navne som ‘SCADA-ledningsdiagram’ eller ‘SCADA-panel layout’.
Det er ikke helt klart, hvem der står bag angrebet. Analysen beskriver hackere bag det som en “advanced persistent threat’ en sætning, som normalt bruges til at referere til cyber-angribere med statsstøtte. CERT alarm også referencer arbejde, der er udført af sikkerhedsfirmaet Symantec, der refererer til angriberne er ‘Guldsmed’ – en gruppe tidligere kendt som ‘Energiske Bære”. Symantec sagde, at kampagnen bærer præg af en stats-sponsoreret drift, viser en høj grad af teknisk formåen.
“Gruppen er godt udrustet, med en vifte af malware-værktøjer til sin rådighed, og er i stand til at iværksætte angreb gennem flere angrebsvektorer samtidig at gå på kompromis mange tredjeparts websteder i processen. Dens vigtigste motiv synes at være cyber-spionage, med potentiale for at sabotere en bestemt sekundær mulighed.”
Gruppen har fået skylden for angreb på energisektoren, der går tilbage til mindst 2011 ifølge Symantec. Energisk Bjørn er generelt menes at være en russisk hacking gruppe, men den sikkerhed, virksomheden har også bemærkes, at mens nogle kode strenge i den malware, der anvendes af den gruppe, der var i russisk, andre var på fransk, “hvilket indikerer, at et af disse sprog kan være en falsk flag”.
Mere bekymrende, at den sikkerhed, virksomheden bemærkes, at sabotage er typisk indledes med en indsamling af efterretninger fase, hvor angribere indsamle oplysninger om mål, net og systemer og erhverve legitimationsoplysninger, der vil blive brugt i senere kampagner. Virksomheden advaret om, at denne nye kampagne kan betyde, at angriberne kan være på vej ind i en ny fase, “med de seneste kampagner, der potentielt kan give dem adgang til operationelle systemer, adgang til at kunne bruges til mere forstyrrende formål i fremtiden”.
Symantec ‘ s tidligere rapport sagde “den mest vedrørende dokumentation af denne”, var brugen af skærmbilleder, tilsyneladende at opfange data fra de operationelle systemer. CERT-rapport, der går mere i detaljer, er at bemærke, at: “I én instans, truslen aktører adgang til arbejdsstationer og servere på et firmanetværk, der indeholdt data output fra kontrol systemer, inden for energiproduktion og-bræt,” og taget billeder af det. CERT-rapporten indeholder også en række anbefalinger til virksomheder til at gennemføre for at beskytte sig selv mod angreb.
LÆS MERE OM CYBERKRIG
Regeringer og nationalstater er nu officielt uddannelse for cyberwarfare: En indvendig lookThe ny art of war: Hvordan trolde, hackere og spioner er at omskrive reglerne for conflictInside den hemmelige digital arms race: truet af en global cyberwarThe undercover krigen på din internet hemmeligheder: Hvordan online overvågning krakket vores lid til i webThe umulig opgave at tælle op verdens cyber armiesCybercrime og cyberwar: En spotter ‘ s guide til de grupper, der er ude på at få dig i det grå område mellem spionage og cyberwarNSA chef: Dette er, hvad en worst-case cyberattack scenarie ligner
0