Numerosos sistemas de control industrial (ICS) en los EE.UU. fueron comprometidos en una campaña malicioso utilizando una versión de la BalckEnergy kit de herramientas que se puso en marcha hace al menos tres años.
Los productos HMI de Advantech / Broadwin WebAccess, GE y Siemens WinCC Cimplicity fueron atacados en la campaña, informó el Equipo de Respuesta de Emergencia de Control de Sistemas Industriales de los Estados Unidos de Cyber (ICS-CERT). Los expertos sospechan que otras soluciones también pueden verse comprometidos, pero no hay evidencia hasta ahora.
La arquitectura de BlackEnergy es modular, lo que permite la implementación de nuevos módulos para cubrir funciones adicionales. El software malicioso se sabe que poseen numerosas capacidades, sin embargo, los investigadores han observado sólo el uso de módulos configurados para el movimiento lateral en la Web. Lo que hacen es escanear para los medios extraíbles y ubicaciones compartidas. Los expertos no han encontrado ninguna evidencia de BlackEnergy interferir con los procesos de control en el sistema comprometido.
Vectores de Ataque del BlackEnergy
Los ciberdelincuentes han aprovechado la vulnerabilidad CVE-2014-0751 en GE Cimplicity, lo que les permite ejecutar el código arbitrario a través de un mensaje especialmente diseñado para el puerto TCP 10212 desde una ubicación remota.
El fallo se informó públicamente a principios de año, pero de acuerdo con el ICS-CERT los hackers han estado explotando la vulnerabilidad desde el comienzo de 2012. En la campaña dirigida a productos Cimplicity, BlackEnergy sigue un patrón de auto-borrado inmediatamente después de la instalación. Para buscar y atacar a los sistemas vulnerables, los ladrones son probablemente usando herramientas automatizadas. Los expertos advierten de todas las empresas que han estado utilizando desde Cimplicity 2012 con su HMI conectado directamente a la red que pudieran estar infectados con BlackEnergy.
Los vectores de ataque para otros productos HMI no se han definido hasta ahora. Los ordenadores que utilizan software de control de Advantech / Broadwin WebAccess y WinCC han marcado porque los archivos relacionados con BlackEnergy han sido vistos en ellos.
Recomendación Expertos
Las empresas que operan sistemas de control industrial Se recomienda encarecidamente a revisar sus activos para cualquier signo de infección.
La intrusión BlackEnergy se puede identificar con la ayuda de la firma Yara, creado por ICS-CERT. Los usuarios deben tener en cuenta que la firma no ha sido probado para todos los entornos o variaciones, por lo que en caso de cualquier hallazgo sospechosos, son sked ponerse en contacto con ICS-CERT inmediatamente.