Zahlreiche industrielle Steuerungssysteme (ICS) in den USA wurden in einer Hetzkampagne mit einer Version des kompromittierten BalckEnergy Toolkit Das war vor mindestens drei Jahren ins Leben gerufen.
Die HMI-Produkte von Advantech / Broadwin WebAccess, GE Cimplicity und Siemens WinCC wurden in der Kampagne gezielt, berichtete die US Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Die Experten vermuten, dass andere Lösungen können ebenfalls beeinträchtigt werden, aber es gibt keine harten Beweise bisher.
Die Architektur des BlackEnergy ist modular, so dass die Umsetzung der neuen Module, um zusätzliche Funktionen abdecken. Die Malware ist bekannt, dass zahlreiche Funktionen besitzen,, Noch Forscher haben nur die Verwendung von Modulen für eine seitliche Bewegung ausgebildet auf der Web beobachtet. Was sie tun, ist für Wechselmedien und gemeinsame Positionen zu scannen. Experten haben keine Hinweise auf BlackEnergy Beeinträchtigung der Steuerungsprozesse auf dem kompromittierten System gefunden.
Angriffsvektoren von BlackEnergy
Die Cyberkriminellen haben die CVE-2014-0751 Sicherheitsanfälligkeit über GE Cimplicity Leveraged, die diese an die beliebigen Code über eine speziell entwickelte Nachricht an TCP-Port ausführen können 10212 von einem entfernten Ort.
Die Panne wurde öffentlich am Anfang des Jahres berichtet, sondern nach dem ICS-CERT die Hacker haben ein Ausnutzen der Sicherheitsanfälligkeit seit Beginn 2012. In der Kampagne gegen Cimplicity Produkte, BlackEnergy folgt ein Selbstlöschmuster direkt nach der Installation. So suchen und angreifen verwundbare Systeme, die Gauner Wahrscheinlich verwenden automatisierte Tools. Die Experten warnen alle Unternehmen, die verwendet haben Cimplicity seit 2012 mit ihren HMI direkt an das Web, dass sie vielleicht mit BlackEnergy infiziert werden verbunden.
Die Angriffsvektoren für weitere HMI-Produkte wurden bisher nicht festgelegt worden. Computer, die mit Advantech / Broadwin WebAccess Steuerungssoftware und WinCC gewesen roten Liste steht, weil Dateien BlackEnergy bezogene haben auf ihnen gesichtet.
Empfehlung der Experten
Unternehmen, die industrielle Steuerungssysteme arbeiten wird dringend empfohlen, die ihr Vermögen auf Anzeichen einer Infektion überarbeiten.
Die BlackEnergy Intrusion kann mit Hilfe des Yara Signatur identifiziert werden,, erstellt von ICS-CERT. Benutzer müssen im Hinterkopf behalten, dass die Signatur nicht für alle Umgebungen oder Variationen getestet, so im Falle von vermuteten Befunde, sie sind Sked ICS-CERT unverzüglich Kontakt.
