Talrige industrielle kontrolsystemer (ICS) i USA blev kompromitteret i en ondsindet kampagne, der benytter en version af BalckEnergy toolkit der blev lanceret i mindst tre år siden.
HMI produkter Advantech / Broadwin WebAccess, GE Cimplicity og Siemens WinCC var målrettet i kampagnen, rapporterede den amerikanske Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Eksperterne har mistanke om, at andre løsninger også kan være kompromitteret, men der er ingen håndfaste beviser hidtil.
Arkitekturen i BlackEnergy er modulopbygget, således at implementeringen af nye moduler til at dække yderligere funktioner. Den malware er kendt for at besidde mange kapaciteter, endnu forskere har observeret kun anvendelse af moduler, der er konfigureret til sideværts bevægelse på nettet. Hvad de gør, er scanne for flytbare medier og delte placeringer. Eksperter har ikke fundet nogen dokumentation for BlackEnergy forstyrre kontrolprocesser på kompromitteret system.
Angrebsvektorer af BlackEnergy
De cyberkriminelle har gearede CVE-2014-0751 sårbarheden på GE Cimplicity, som giver dem mulighed for at udføre vilkårlig kode via en specielt designet besked til TCP-port 10212 fra et fjerntliggende sted.
Glitch blev offentligt kendt i begyndelsen af året, men i henhold til ICS-CERT hackere har været at udnytte sårbarheden siden begyndelsen af 2012. I kampagnemålretning Cimplicity produkter, BlackEnergy følger en selvstændig delete mønster lige efter installation. At finde og angribe sårbare systemer, skurke bruger formodentlig automatiserede værktøjer. Eksperterne advarer alle de virksomheder, der har brugt Cimplicity siden 2012 med deres HMI direkte forbundet til nettet, som de kunne blive smittet med BlackEnergy.
Angrebsvektorerne for yderligere HMI-produkter er ikke defineret hidtil. Computere, der bruger Advantech / Broadwin WebAccess kontrol software og WinCC har været rød-flagede fordi filer relateret til BlackEnergy er blevet spottet på dem.
Eksperter anbefaling
Virksomheder, der opererer industrielle kontrolsystemer anbefales kraftigt at revidere deres aktiver for ethvert tegn på infektion.
Den BlackEnergy indtrængen kan identificeres ved hjælp af Yara underskrift, skabt af ICS-CERT. Brugerne skal huske på, at signaturen ikke er blevet testet for alle miljøer eller variationer, så i tilfælde af eventuelle formodede resultater, de er sked for at kontakte ICS-CERT straks.
