CYBER NEWS

BlackEnergy Målretning Industrial Control Systems i USA

Talrige industrielle kontrolsystemer (ICS) i USA blev kompromitteret i en ondsindet kampagne, der benytter en version af BalckEnergy toolkit der blev lanceret i mindst tre år siden.
BlackEnergy
HMI produkter Advantech / Broadwin WebAccess, GE Cimplicity og Siemens WinCC var målrettet i kampagnen, rapporterede den amerikanske Industrial Control Systems Cyber ​​Emergency Response Team (ICS-CERT). Eksperterne har mistanke om, at andre løsninger også kan være kompromitteret, men der er ingen håndfaste beviser hidtil.

Arkitekturen i BlackEnergy er modulopbygget, således at implementeringen af ​​nye moduler til at dække yderligere funktioner. Den malware er kendt for at besidde mange kapaciteter, endnu forskere har observeret kun anvendelse af moduler, der er konfigureret til sideværts bevægelse på nettet. Hvad de gør, er scanne for flytbare medier og delte placeringer. Eksperter har ikke fundet nogen dokumentation for BlackEnergy forstyrre kontrolprocesser på kompromitteret system.

Angrebsvektorer af BlackEnergy

De cyberkriminelle har gearede CVE-2014-0751 sårbarheden på GE Cimplicity, som giver dem mulighed for at udføre vilkårlig kode via en specielt designet besked til TCP-port 10212 fra et fjerntliggende sted.

Glitch blev offentligt kendt i begyndelsen af ​​året, men i henhold til ICS-CERT hackere har været at udnytte sårbarheden siden begyndelsen af 2012. I kampagnemålretning Cimplicity produkter, BlackEnergy følger en selvstændig delete mønster lige efter installation. At finde og angribe sårbare systemer, skurke bruger formodentlig automatiserede værktøjer. Eksperterne advarer alle de virksomheder, der har brugt Cimplicity siden 2012 med deres HMI direkte forbundet til nettet, som de kunne blive smittet med BlackEnergy.

Angrebsvektorerne for yderligere HMI-produkter er ikke defineret hidtil. Computere, der bruger Advantech / Broadwin WebAccess kontrol software og WinCC har været rød-flagede fordi filer relateret til BlackEnergy er blevet spottet på dem.

Eksperter anbefaling

Virksomheder, der opererer industrielle kontrolsystemer anbefales kraftigt at revidere deres aktiver for ethvert tegn på infektion.

Den BlackEnergy indtrængen kan identificeres ved hjælp af Yara underskrift, skabt af ICS-CERT. Brugerne skal huske på, at signaturen ikke er blevet testet for alle miljøer eller variationer, så i tilfælde af eventuelle formodede resultater, de er sked for at kontakte ICS-CERT straks.

Avatar

Berta Bilbao

Berta er en dedikeret malware forsker, drømmer om en mere sikker cyberspace. Hendes fascination af it-sikkerhed begyndte for et par år siden, da en malware låst hende ud af hendes egen computer.

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...