Duas ferramentas perigosas de malware direcionadas a sistemas de controle industrial (ICS) e ambientes de tecnologia operacional (TO) na Europa são as mais recentes manifestações das consequências cibernéticas da guerra na Ucrânia.
Uma das ferramentas, apelidada de “Kapeka”, parece ligado ao Sandworm, um prolífico ator de ameaças apoiado pelo Estado russo que o grupo de segurança Mandiant do Google descreveu esta semana como o principal do país. unidade primária de ataque cibernético na Ucrânia. Pesquisadores de segurança da WithSecure, com sede na Finlândia, detectaram o backdoor apresentado em ataques de 2023 contra uma empresa de logística da Estônia e outros alvos na Europa Oriental e perceberam-no como uma ameaça ativa e contínua.
Malware destrutivo
O outro malware – apelidado de forma um tanto colorida FuxNet – é uma ferramenta que o grupo ameaçador Blackjack, apoiado pelo governo da Ucrânia, provavelmente usou em um ataque destrutivo recente contra a Moskollector, uma empresa que mantém uma grande rede de sensores para monitorar o sistema de esgoto de Moscou. Os invasores usaram o Fuxnet para bloquear com sucesso o que alegaram ser um total de 1,700 gateways de sensores na rede do Moskollector e, no processo, desabilitaram cerca de 87,000 sensores conectados a esses gateways.
“A principal funcionalidade do malware Fuxnet ICS era corromper e bloquear o acesso aos gateways dos sensores, além de tentar corromper os sensores físicos também”, diz Sharon Brizinov, diretora de pesquisa de vulnerabilidades da empresa de segurança ICS Claroty, que investigou recentemente o ataque do Blackjack. Como resultado do ataque, o Moskollector provavelmente terá que alcançar fisicamente cada um dos milhares de dispositivos afetados e substituí-los individualmente, diz Brizinov. “Para restaurar a capacidade [da Moskollector] de monitorar e operar o sistema de esgoto em toda Moscou, eles precisarão adquirir e reiniciar todo o sistema.”
Kapeka e Fuxnet são exemplos das consequências cibernéticas mais amplas do conflito entre a Rússia e a Ucrânia. Desde que a guerra entre os dois países começou em Fevereiro de 2022 – e mesmo muito antes disso – grupos de hackers de ambos os lados desenvolveram e usaram uma série de ferramentas de malware uns contra os outros. Muitas das ferramentas, incluindo limpadores e ransomware, foram de natureza destrutiva ou perturbadora e teve como alvo principalmente infraestruturas críticas, ICS e ambientes de TO em ambos os países.
Mas, em diversas ocasiões, ataques envolvendo ferramentas geradas pelo conflito de longa data entre os dois países afetou uma faixa mais ampla de vítimas. O exemplo mais notável continua sendo o NotPetya, uma ferramenta de malware que o grupo Sandworm desenvolveu originalmente para uso na Ucrânia, mas que acabou impactando dezenas de milhares de sistemas em todo o mundo em 2017. Em 2023, o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e o Agência de Segurança Nacional dos EUA (NSA) alertou sobre um conjunto de ferramentas de malware Sandworm apelidado de “Infamous Chisel”, que representa uma ameaça para usuários do Android em todos os lugares.
Kapeka: Um substituto do Sandworm para GreyEnergy?
De acordo com WithSecure, Kapeka é um novo backdoor que os invasores podem usar como um kit de ferramentas em estágio inicial e para permitir a persistência de longo prazo no sistema da vítima. O malware inclui um componente dropper para instalar o backdoor em uma máquina alvo e depois removê-lo. “O Kapeka oferece suporte a todas as funcionalidades básicas que lhe permitem operar como um backdoor flexível no patrimônio da vítima”, diz Mohammad Kazem Hassan Nejad, pesquisador da WithSecure.
Seus recursos incluem leitura e gravação de arquivos de e para disco, execução de comandos shell e lançamento de cargas e processos maliciosos, incluindo binários que vivem fora da terra. “Depois de obter o acesso inicial, o operador do Kapeka pode utilizar o backdoor para executar uma ampla variedade de tarefas na máquina da vítima, como descoberta, implantação de malware adicional e preparação dos próximos estágios do ataque”, diz Nejad.
De acordo com Nejad, WithSecure conseguiu encontrar evidências sugerindo uma conexão com Sandworm e o grupo Malware GreyEnergy usado em ataques à rede elétrica da Ucrânia em 2018. “Acreditamos que Kapeka pode ser um substituto para GreyEnergy no arsenal do Sandworm”, observa Nejad. Embora as duas amostras de malware não tenham origem no mesmo código-fonte, existem algumas sobreposições conceituais entre Kapeka e GreyEnergy, assim como houve algumas sobreposições entre GreyEnergy e seu antecessor, BlackEnergy. “Isso indica que o Sandworm pode ter atualizado seu arsenal com novas ferramentas ao longo do tempo para se adaptar ao cenário de ameaças em constante mudança”, diz Nejad.
Fuxnet: uma ferramenta para perturbar e destruir
Enquanto isso, Brizinov da Clarity identifica o Fuxnet como malware ICS destinado a causar danos a equipamentos sensores específicos fabricados na Rússia. O malware destina-se à implantação em gateways que monitoram e coletam dados de sensores físicos para alarmes de incêndio, monitoramento de gás, iluminação e casos de uso semelhantes.
“Depois que o malware for implantado, ele bloqueará os gateways, substituindo seu chip NAND e desativando recursos externos de acesso remoto, impedindo que as operadoras controlem remotamente os dispositivos”, diz Brizinov.
Um módulo separado tenta então inundar os próprios sensores físicos com tráfego M-Bus inútil. M-Bus é um protocolo de comunicação europeu para leitura remota de medidores de gás, água, energia elétrica e outros. “Um dos principais objetivos do malware Fuxnet ICS do Blackjack [é] atacar e destruir os próprios sensores físicos após obter acesso ao gateway do sensor”, diz Brizinov. Para fazer isso, o Blackjack optou por confundir os sensores, enviando-lhes um número ilimitado de pacotes M-Bus. “Em essência, o BlackJack esperava que, ao enviar indefinidamente pacotes M-Bus aleatórios ao sensor, os pacotes os sobrecarregariam e potencialmente desencadeariam uma vulnerabilidade que corromperia os sensores e os colocaria em um estado inoperável”, diz ele.
A principal lição que as organizações podem tirar desses ataques é prestar atenção aos princípios básicos de segurança. O blackjack, por exemplo, parece ter obtido acesso root aos gateways de sensores alvo, abusando de credenciais fracas nos dispositivos. O ataque destaca por que “é importante manter uma boa política de senhas, garantindo que os dispositivos não compartilhem as mesmas credenciais ou usem credenciais padrão”, diz ele. “Também é importante implantar uma boa higienização e segmentação de rede, garantindo que os invasores não consigam se mover lateralmente dentro da rede e implantar seu malware em todos os dispositivos de borda.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine