Kupczyk Piotr 
Wśród atakowanych organizacji znaleźli się dostawcy sprzętu oraz oprogramowania dla przedsiębiorstw przemysłowych. Badanie wykazało, że atakujący stosowali szkodliwe dokumenty Microsoft Office, skrypty PowerShell oraz różne techniki w celu utrudnienia wykrycia i analizy swojego szkodliwego oprogramowania – łącznie ze steganografią, pomysłową techniką ukrywania danych, która pozwala zataić istnienie jakichkolwiek informacji.
Ataki wymierzone w obiekty przemysłowe w naturalny sposób zwracają uwagę społeczności związanej z cyberbezpieczeństwem: są wyrafinowane i skupiają się na określonym rodzaju firm o krytycznym znaczeniu. Jakiekolwiek zakłócenie działania takich firm może prowadzić do różnych niepożądanych konsekwencji, od skutecznego szpiegostwa przemysłowego po dotkliwe straty finansowe.
Nie inaczej było w przypadku analizowanej serii ataków. Wiadomości phishingowe, wykorzystane jako pierwotny wektor ataku, zostały dostosowane pod względem językowym do indywidualnych ofiar. Zastosowane podczas ataku szkodliwe oprogramowanie wykonywało destrukcyjne działania tylko wtedy, gdy lokalizacja systemu operacyjnego odpowiadała językowi, w którym stworzono wiadomość phishingową. Na przykład w przypadku ataku na firmę z Japonii tekst wiadomości phishngowej oraz dokumentu Microsoft Office zawierającego szkodliwy kod był napisany w języku japońskim. Ponadto, aby możliwe było odszyfrowanie modułu szkodliwego oprogramowania, również system operacyjny musiał być zlokalizowany w języku japońskim.
Dokładniejsza analiza wykazała, że atakujący wykorzystywali narzędzie Mimikatz w celu kradzieży danych uwierzytelniających konta systemu Windows. Informacje te mogą zostać użyte do uzyskania dostępu do innych systemów w sieci przedsiębiorstwa oraz zaplanowania ataków. Szczególnie niebezpieczna może być sytuacja, gdy przestępcy uzyskają dostęp do kont z uprawnieniami administratora domeny.
We wszystkich wykrytych przypadkach szkodliwe oprogramowanie zostało zablokowane przez rozwiązania bezpieczeństwa firmy Kaspersky, uniemożliwiając dalszą aktywność atakujących. W efekcie ostateczny cel przestępców pozostaje nieznany. Eksperci z zespołu Kaspersky ICS CERT nadal monitorują nowe, podobne przypadki. Osoby, które miały do czynienia z takim atakiem, mogą zgłosić go za pośrednictwem formularza dostępnego na stronie internetowej firmy Kaspersky.
Opisywany atak zwraca uwagę ze względu na zastosowanie kilku niestandardowych rozwiązań technicznych. Na przykład moduł szkodliwego oprogramowania jest zakodowany wewnątrz pliku graficznego przy użyciu metod steganografii, a sam obrazek jest dystrybuowany z legalnych zasobów WWW. To wszystko sprawia, że wykrycie pobrania takiego szkodliwego oprogramowania przy zastosowaniu monitorowania ruchu sieciowego oraz narzędzi kontroli jest praktycznie niemożliwe: z punktu widzenia rozwiązań technicznych taka aktywność nie różni się od zwykłego dostępu przyznanego legalnemu hostingowi grafiki. W połączeniu z ukierunkowanym charakterem infekcji techniki te wskazują na wyrafinowaną i selektywną naturę ataków. Niepokojące jest to, że wśród ofiar znajdują się podwykonawcy z branży przemysłowej. Jeśli dane uwierzytelniające pracowników takiej organizacji wpadną w niepowołane ręce, może to doprowadzić do wielu negatywnych konsekwencji, począwszy od kradzieży poufnych danych, a skończywszy na atakach na przedsiębiorstwa przemysłowe za pośrednictwem wykorzystywanych przez wykonawcę narzędzi zdalnej administracji – powiedział Wiaczesław Kopiejcew, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają organizacjom przemysłowym następujące działania w celu zmniejszenia ryzyka związanego z opisywanymi atakami:
· Zapewnienie szkolenia pracownikom przedsiębiorstwa, podczas którego dowiedzą się, jak bezpiecznie korzystać z poczty e-mail oraz, w szczególności, jak zidentyfikować wiadomości phishingowe.
· Ograniczenie wykonywania makr w dokumentach Microsoft Office.
· Ograniczenie wykonywania skryptów PowerShell (jeśli jest to możliwe).
· Zwracanie szczególnej uwagi na zdarzenia uruchomienia procesów PowerShell zainicjowanych przez aplikacje Microsoft Office. Ograniczenie uzyskiwania uprawnień SeDebugPrivilege przez programy (jeśli jest to możliwe).
· Instalacja rozwiązań zabezpieczających we wszystkich systemach z możliwością centralnego zarządzania politykami bezpieczeństwa oraz regularne uaktualnianie baz antywirusowych.
· Stosowanie kont z uprawnieniami administratora domeny wyłącznie w niezbędnych przypadkach. W przypadku użycia takich kont należy ponownie uruchomić system, w którym dokonano uwierzytelnienia.
· Wdrożenie polityki dot. haseł wymagającej określonego poziomu ich złożoności oraz regularnej zmiany.
· W przypadku podejrzenia infekcji systemów należy przeprowadzić kontrolę antywirusową oraz wymusić zmiany haseł dla wszystkich kont, z których zalogowano się do danych systemów.
Szczegóły techniczne dotyczące omawianych cyberataków na organizacje przemysłowe są dostępna na stronie Kaspersky ICS CERT: https://r.kaspersky.pl/TqIs2.
Informacje o Kaspersky ICS CERT
Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) to globalny projekt uruchomiony przez Kaspersky Lab w 2016 r. w celu koordynacji działań producentów systemów automatyzacji, właścicieli i operatorów obiektów przemysłowych, jak również badaczy bezpieczeństwa IT ukierunkowanych na ochronę przedsiębiorstw przemysłowych przed cyberatakami. Kaspersky Lab ICS CERT koncentruje się głównie na identyfikowaniu potencjalnych i istniejących zagrożeń, których celem są systemy automatyzacji przemysłowej oraz przemysłowy Internet Rzeczy. W pierwszym roku swojej działalności zespół zidentyfikował ponad 110 krytycznych luk w zabezpieczeniach produktów największych globalnych producentów przemysłowych systemów sterowania. Kaspersky Lab ICS CERT jest aktywnym członkiem i partnerem czołowych międzynarodowych organizacji, które opracowują rekomendacje dotyczące ochrony przedsiębiorstw przemysłowych przed cyberzagrożeniami. Więcej informacji znajduje się na stronie https://ics-cert.kaspersky.com.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.
