CYBER NOUVELLES

BlackEnergy Cibler les systèmes de contrôle industriels aux Etats-Unis

De nombreux systèmes de contrôle industriel (ICS) aux Etats-Unis ont été compromises dans une campagne malveillant en utilisant une version de la BalckEnergy boîte à outils qui a été lancé il ya au moins trois ans.
BlackEnergy
Les produits IHM de Advantech / Broadwin WebAccess, GE et Siemens WinCC Cimplicity ont été ciblés dans la campagne, a déclaré l'équipe d'intervention d'urgence des systèmes de contrôle industriel US Cyber (ICS-CERT). Les experts soupçonnent que d'autres solutions peuvent également être compromises, mais il n'y a pas de preuves tangibles à ce jour.

L'architecture de BlackEnergy est modulaire, permettant ainsi la mise en œuvre de nouveaux modules pour couvrir des fonctions supplémentaires. Le logiciel malveillant est connu pour posséder de nombreuses capacités, encore les chercheurs ont observé que l'utilisation de modules configurés pour effectuer un mouvement latéral sur le Web. Ce qu'ils font est de numériser les supports amovibles et les lieux communs. Les experts ont trouvé aucune preuve de BlackEnergy interférer avec les processus de contrôle sur le système compromis.

Vecteurs d'attaque de BlackEnergy

Les cybercriminels ont exploité la vulnérabilité CVE-2014-0751 sur GE Cimplicity, qui leur permet d'exécuter le code arbitraire via un message spécialement conçu pour le port TCP 10212 à partir d'un emplacement distant.

Le pépin a été signalé publiquement au début de l'année, mais selon l'ICS-CERT les pirates ont exploité la vulnérabilité depuis le début de 2012. Dans la campagne ciblant les produits Cimplicity, BlackEnergy suit un modèle d'auto-droit de supprimer après l'installation. Pour trouver et attaquer les systèmes vulnérables, les escrocs utilisent probablement des outils automatisés. Les experts mettent en garde contre toutes les entreprises qui ont eu recours depuis Cimplicity 2012 avec leur HMI directement connecté à Internet, qu'ils pourraient être infectés par BlackEnergy.

Les vecteurs d'attaque pour d'autres produits HMI ne sont pas définis à ce jour. Les ordinateurs qui utilisent un logiciel de contrôle Advantech / Broadwin WebAccess et WinCC ont été drapeau rouge car les fichiers liés à BlackEnergy ont été repérés sur les.

Recommandation d'experts

Les entreprises qui exploitent des systèmes de contrôle industriel est fortement recommandé de réviser leurs actifs pour tout signe d'infection.

L'intrusion BlackEnergy peut être identifié à l'aide de la signature Yara, créé par ICS-CERT. Les utilisateurs doivent garder à l'esprit que la signature n'a pas été testé pour tous les environnements ou des variations, Donc, en cas de résultats présumés, ils sont sked à contacter ICS-CERT immédiatement.

avatar

Berta Bilbao

Berta est un chercheur dédié logiciels malveillants, rêver pour un cyber espace plus sûr. Sa fascination pour la sécurité informatique a commencé il y a quelques années, quand un malware lui en lock-out de son propre ordinateur.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...