De nombreux systèmes de contrôle industriel (ICS) aux Etats-Unis ont été compromises dans une campagne malveillant en utilisant une version de la BalckEnergy boîte à outils qui a été lancé il ya au moins trois ans.
Les produits IHM de Advantech / Broadwin WebAccess, GE et Siemens WinCC Cimplicity ont été ciblés dans la campagne, a déclaré l'équipe d'intervention d'urgence des systèmes de contrôle industriel US Cyber (ICS-CERT). Les experts soupçonnent que d'autres solutions peuvent également être compromises, mais il n'y a pas de preuves tangibles à ce jour.
L'architecture de BlackEnergy est modulaire, permettant ainsi la mise en œuvre de nouveaux modules pour couvrir des fonctions supplémentaires. Le logiciel malveillant est connu pour posséder de nombreuses capacités, encore les chercheurs ont observé que l'utilisation de modules configurés pour effectuer un mouvement latéral sur le Web. Ce qu'ils font est de numériser les supports amovibles et les lieux communs. Les experts ont trouvé aucune preuve de BlackEnergy interférer avec les processus de contrôle sur le système compromis.
Vecteurs d'attaque de BlackEnergy
Les cybercriminels ont exploité la vulnérabilité CVE-2014-0751 sur GE Cimplicity, qui leur permet d'exécuter le code arbitraire via un message spécialement conçu pour le port TCP 10212 à partir d'un emplacement distant.
Le pépin a été signalé publiquement au début de l'année, mais selon l'ICS-CERT les pirates ont exploité la vulnérabilité depuis le début de 2012. Dans la campagne ciblant les produits Cimplicity, BlackEnergy suit un modèle d'auto-droit de supprimer après l'installation. Pour trouver et attaquer les systèmes vulnérables, les escrocs utilisent probablement des outils automatisés. Les experts mettent en garde contre toutes les entreprises qui ont eu recours depuis Cimplicity 2012 avec leur HMI directement connecté à Internet, qu'ils pourraient être infectés par BlackEnergy.
Les vecteurs d'attaque pour d'autres produits HMI ne sont pas définis à ce jour. Les ordinateurs qui utilisent un logiciel de contrôle Advantech / Broadwin WebAccess et WinCC ont été drapeau rouge car les fichiers liés à BlackEnergy ont été repérés sur les.
Recommandation d'experts
Les entreprises qui exploitent des systèmes de contrôle industriel est fortement recommandé de réviser leurs actifs pour tout signe d'infection.
L'intrusion BlackEnergy peut être identifié à l'aide de la signature Yara, créé par ICS-CERT. Les utilisateurs doivent garder à l'esprit que la signature n'a pas été testé pour tous les environnements ou des variations, Donc, en cas de résultats présumés, ils sont sked à contacter ICS-CERT immédiatement.