Disse nye hackergrupper er slående industrielle, operationelle teknologimål

0
149

Charlie Osborne Skrevet af Charlie Osborne, bidragyder Charlie Osborne Charlie Osborne Bidragyder

Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.

Fuld biografi Udgivet i Zero Day den 23. februar 2022 | Emne: Sikkerhed

Tre nye trusselsgrupper rettet mod industrisektoren er dukket op, men over halvdelen af ​​alle angreb er kun udført af to kendte cyberkriminelle enheder, siger forskere.

Cyberangreb lanceret mod industrielle aktører, udbydere af kritisk infrastruktur, forsyningsselskaber og energiselskaber – uanset om det er olie, gas eller vedvarende energi – handler ofte mindre om at tjene penge og mere om datatyveri eller at forårsage forstyrrelser i den virkelige verden.

Ransomware-hændelserne oplevet af Colonial Pipeline og JBS gjorde opmærksom på konsekvenserne af digitale angreb på forsyningskæder.

Efter at Colonial Pipeline midlertidigt stoppede leveringstjenesterne for at efterforske et cyberangreb, fandt brændstofpanikkøb sted i dele af USA. JBS, en global meatpacker, betalte en løsesum på 11 millioner dollars, men dette var ikke nok til at forhindre forsinkelser i kødpriserne og et fald i kvægslagtningen på grund af markedsusikkerhed.

Industrielle cyberangreb, især dem, der udføres af avancerede vedvarende trusler (APT), kan også være af politisk karakter.

Der er under opsejling mellem Rusland og Ukraine, og førstnævnte er blevet anklaget for ansvaret for igangværende cyberangreb, herunder et distribueret denial-of-service (DDoS)-angreb på regeringshjemmesider. Finansielle tjenester i landet er også blevet påvirket.

Kreml har nægtet enhver involvering. Rusland er også blevet anklaget for et cyberangreb i 2015, der tog Ukraines elnet ned.

Ukrainske embedsmænd har også peget fingeren på Rusland for bevidst at forsøge at så panik gennem forstyrrelsen – og som vi har set med tidligere infrastruktur-baserede angreb på private virksomheder, kan offentligheden og dens adfærd bestemt blive påvirket af sådanne aktiviteter.

I Dragos' femte år i gennemgang rapport om industrielt kontrolsystem (ICS) & Operational Technology (OT) trusler, sagde cybersikkerhedsfirmaet, at tre nye grupper er blevet opdaget “med den vurderede motivation at målrette mod ICS/OT.”

Opdagelsen kommer i hælene på sidste års forskning, som detaljerede udnyttelsen af ​​fire andre aktivitetsgrupper, kaldet Stibnite, Talonite, Kamacite og Vanadinite.

Dragos' nye aktivitetsgrupper hedder Kostovite, Petrovite og Erythrite.

Kostovite:I 2021 målrettede Kostovite en større organisation for vedvarende energi. Trusselsaktørerne brugte en nul-dages sårbarhed i fjernadgangssoftwareløsningen Ivanti Connect Secure til at få direkte adgang til firmaets infrastruktur, flytte sideværts og stjæle data.

Kostovite har målrettet faciliteter i Nordamerika og Australien.

Denne gruppe har overlap med UNC2630, en kinesisk-talende cyberangrebsgruppe, og er forbundet med 12 malware-familier.

Petrovite: Petrovite dukkede op på scenen i 2019 og har ofte målrettet minedrift og energivirksomheder i Kasakhstan. Denne gruppe gør brug af Zebrocy-bagdøren og udfører generel rekognoscering.

Erythrite: Erythrite, der har været aktiv siden mindst 2020, er en trusselgruppe, der generelt er rettet mod organisationer i USA og Canada. Mållisten er bred og omfatter olie og gas, producenter, elektricitetsselskaber og et medlem af Fortune 500. 

“Erythrite udfører yderst effektiv søgemaskineforgiftning og udrulning af malware, der stjæler legitimationsoplysninger,” siger Dragos. “Deres malware frigives som en del af en hurtig udviklingscyklus designet til at undgå endpoint-detektion. Erythrite har tekniske overlapninger til en anden gruppe, der af flere it-sikkerhedsorganisationer er mærket som Solarmarker.”

Kostovite og Erythrite har demonstreret færdigheder til at udføre sofistikerede indtrængen, “med fokus på adgangsoperationer og datatyveri frem for forstyrrelser,” ifølge Dragos.

“[Disse] modstandere er villige til at bruge tid, kræfter og ressourcer på at målrette, kompromittere og høste information fra ICS/OT-miljøer til fremtidige formål,” siger Dragos.

De nye spillere på scenen slutter sig til Lockbit 2.0 og Conti, som anslås at være ansvarlige for 51 % procent af alle ransomware-angreb i fremstillingssektoren.

Derudover undersøgte Dragos den generelle tilstand af industriel sikkerhed. Ifølge firmaet er OT-trusseltriage “utrolig vanskelig i skala”, da 86% af engagementer har en eksisterende mangel på netværkssynlighed.

Tidligere uopdagede eksterne forbindelser, delte legitimationsoplysninger og ukorrekt netværkssegmentering var almindelige OT-sikkerhedsproblemer, og over dobbelt så mange industrirelaterede CVE-sårbarheder blev offentliggjort i 2021 sammenlignet med 2020.

Dragos siger, at over en tredjedel af CVE-rådgivningerne indeholder også unøjagtige data og fejl, når det kommer til ICS/OT, hvilket gør udfordringen med at lappe nye sårbarheder korrekt mere vanskelig. Derudover havde 65 % af rådene for offentlige sårbarheder en patch tilgængelig, men ingen alternative midler til afbødning.

Tidligere og relateret dækning

Et ud af syv ransomware-afpresningsforsøg lækker vigtige operationelle teknologiregistreringer
Cybersikkerhedsbudgetter for industrielle kontrolsystemer og operationel teknologi stiger: SANS Institute
Kritisk infrastruktursikkerhed døbt ' abysmal' af forskere

Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0

Security TV | Datastyring | CXO | Datacentre