Kaspersky a realizat recent o investigatie privind atacurile cibernetice care vizeaza sectorul industrial din Europa de Est. Ancheta a relevat utilizarea de tactici, tehnici si proceduri avansate (TTP) de catre atacatorii cibernetici pentru a compromite organizatiile industriale din regiune. Industrii precum productia, ingineria si integrarea sistemului de control industrial (ICS) au fost afectate in mod deosebit, subliniind nevoia urgenta de pregatire sporita pentru securitatea cibernetica.

In timpul anchetei, Kaspersky a descoperit o serie de atacuri tintite, cu scopul de a stabili un canal permanent pentru exfiltrarea datelor. Aceste campanii au prezentat asemanari semnificative cu atacurile cercetate anterior, precum ExCone si DexCone, sugerand implicarea APT31, cunoscut si sub numele de Judgment Panda si Zirconium.

Investigatia a dezvaluit utilizarea implanturilor avansate concepute pentru acces la distanta, atestand cunostintele si expertiza extinse ale atacatorilor in evitarea masurilor de securitate. Aceste implanturi au permis stabilirea de canale persistente pentru exfiltrarea datelor, inclusiv din sisteme de inalta securitate.

In special, atacatorii au folosit din nou tehnicile DLL Hijacking (adica abuzeaza de executabile legitime de la terti, care sunt susceptibile sa incarce baze de date cu legaturi dinamice rau intentionate in memoria lor) pentru a incerca sa evite detectarea in timp ce ruleaza mai multe implanturi utilizate in timpul celor 3 etape de atac.

Serviciile de stocare a datelor bazate pe cloud, cum ar fi Dropbox, precum si platformele temporare de partajare a fisierelor, au fost folosite pentru a exfiltra datele si a livra ulterior programe malware. De asemenea, au implementat infrastructura de comanda si control (C2) pe Yandex Cloud, precum si pe servere private virtuale (VPS) obisnuite, pentru a mentine controlul asupra retelelor compromise.

In cadrul acestor atacuri, au fost implementate noi variante ale malware-ului FourteenHi. Descoperita initial in 2021 in timpul campaniei ExCone care vizeaza entitatile guvernamentale, aceasta familie de malware a evoluat de atunci cu noi variante care au aparut in 2022 pentru a viza in mod specific infrastructura organizatiilor industriale.

In plus, in timpul investigatiei a fost descoperit un nou implant de malware, numit MeatBall. Acest implant de tip backdoor are capacitati extinse de acces la distanta.

Pentru a citi raportul complet despre implanturile din prima etapa, accesati pagina ICS CERT.

Pentru a va proteja computerele OT de diferite amenintari, expertii Kaspersky recomanda:

Efectuarea de evaluari regulate de securitate a sistemelor OT pentru a identifica si elimina posibilele probleme de securitate cibernetica.

Stabilirea evaluarii si triajului continuu in ceea ce priveste vulnerabilitatile, ca baza pentru un proces eficient de gestionare a acestora. Solutiile dedicate precum Kaspersky Industrial CyberSecurity pot deveni un asistent eficient si o sursa de informatii unice care pot fi actionate, nefiind complet disponibile public.

Efectuarea de actualizari in timp util pentru componentele cheie ale retelei OT a companiei; aplicarea de corectii si patch-uri de securitate sau implementarea masurilor compensatorii, de indata ce este posibil din punct de vedere tehnic, sunt masuri cruciale pentru prevenirea unui incident major care ar putea costa milioane de euro din cauza intreruperii procesului de productie.

Utilizarea solutiilor EDR, precum Kaspersky Endpoint Detection and Response, pentru detectarea in timp util a amenintarilor sofisticate, investigarea si remedierea in mod eficient a incidentelor.

Imbunatatirea raspunsului la tehnici rau intentionate noi si avansate prin construirea si consolidarea abilitatilor de prevenire, detectare si raspuns ale echipelor dumnevoastra de gestionare a incidente. Sesiunile de training dedicate securitatii OT pentru echipele de securitate IT si personalul OT sunt una dintre masurile cheie care ajuta la realizarea acestui lucru.