Numerosi sistemi di controllo industriale (ICS) negli Stati Uniti sono stati compromessi in una campagna dannoso utilizzando una versione del BalckEnergy toolkit che è stato lanciato almeno tre anni fa.
I prodotti HMI di Advantech / Broadwin WebAccess, GE Cimplicity e Siemens WinCC stati presi di mira nella campagna, ha riportato gli Stati Uniti Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Gli esperti sospettano che altre soluzioni possono essere compromessi, ma non ci sono prove concrete finora.
L'architettura di BlackEnergy è modulare, permettendo così la realizzazione di nuovi moduli per coprire funzioni aggiuntive. Il malware è noto per possedere numerose funzioni, tuttavia i ricercatori hanno osservato solo l'uso di moduli configurati per movimento laterale sul Web. Quello che fanno è la scansione per i supporti rimovibili e posizioni condivise. Gli esperti non hanno trovato alcuna prova di BlackEnergy interferire con i processi di controllo sul sistema compromesso.
Vettori di attacco di BlackEnergy
I criminali informatici hanno sfruttato la vulnerabilità CVE-2014-0751 su GE Cimplicity, che permette loro di eseguire il codice arbitrario tramite un messaggio appositamente progettato per porta TCP 10212 da una postazione remota.
Il glitch stato reso pubblico all'inizio dell'anno, ma in base alla ICS-CERT gli hacker sono stati sfruttando la vulnerabilità dall'inizio del 2012. Nella campagna di targeting prodotti CIMPLICITY, BlackEnergy segue un modello di auto-eliminazione subito dopo l'installazione. Per trovare e attaccare i sistemi vulnerabili, i truffatori sono probabilmente attraverso strumenti automatizzati. Gli esperti mettono in guardia tutte le aziende che hanno utilizzato Cimplicity dal 2012 con la loro HMI collegato direttamente al Web che potrebbero essere infettati con BlackEnergy.
Non sono stati definiti i vettori di attacco per altri prodotti HMI finora. I computer che utilizzano software di controllo Advantech / Broadwin WebAccess e WinCC sono stati bandiera rossa perché i file relativi a BlackEnergy sono stati avvistati su di loro.
Raccomandazione esperti
Le aziende che operano sistemi di controllo industriale sono fortemente incoraggiati a rivedere i loro beni per qualsiasi segno di infezione.
L'intrusione BlackEnergy può essere identificato con l'aiuto della firma Yara, creato da ICS-CERT. Gli utenti devono tenere a mente che la firma non è stata testata per tutti gli ambienti o variazioni, quindi in caso di qualsiasi risultato sospetti, sono sked di contattare immediatamente ICS-CERT.
