多数の産業用制御システム (ICS) 米国では、のバージョンを使用した悪意のあるキャンペーンで侵害されました BalckEnergyツールキット 少なくとも3年前に発売された.
アドバンテック/ブロードウィンウェブアクセスのHMI製品, GECimplicityとSiemensWinCCがキャンペーンの対象となりました, 米国の産業用制御システムのサイバー緊急対応チームが報告しました (ICS-CERT). 専門家は、他のソリューションも危険にさらされる可能性があると考えています, しかし、これまでのところ確固たる証拠はありません.
BlackEnergyのアーキテクチャはモジュール式です, したがって、新しいモジュールの実装で追加機能をカバーできるようになります. マルウェアは多くの機能を持っていることが知られています, それでも、研究者は、Web上で横方向に移動するように構成されたモジュールの使用のみを観察しています。. 彼らがしていることは、リムーバブルメディアと共有場所をスキャンすることです. 専門家は、BlackEnergyが侵害されたシステムの制御プロセスに干渉しているという証拠を発見していません。.
BlackEnergyの攻撃ベクトル
サイバー犯罪者は、GECimplicityのCVE-2014-0751脆弱性を利用しています, これにより、TCPポートへの特別に設計されたメッセージを介して任意のコードが実行される可能性があります 10212 離れた場所から.
グリッチは年の初めに公に報告されましたが、ICS-CERTによると、ハッカーは最初からこの脆弱性を悪用しています。 2012. Cimplicity製品を対象としたキャンペーンで, BlackEnergyは、インストール直後に自己削除パターンに従います. 脆弱なシステムを見つけて攻撃するには, 詐欺師はおそらく自動化されたツールを使用しています. 専門家は、それ以来Cimplicityを使用しているすべての企業に警告しています 2012 彼らのHMIがWebに直接接続されているため、BlackEnergyに感染している可能性があります.
今後のHMI製品の攻撃ベクトルはこれまで定義されていません. Advantech / Broadwin WebAccess制御ソフトウェアとWinCCを使用しているコンピューターは、BlackEnergyに関連するファイルが検出されたため、レッドフラグが立てられています。.
専門家の推奨
産業用制御システムを運用している企業は、感染の兆候がないか資産を修正することを強くお勧めします.
BlackEnergyの侵入は、Yaraの署名を使用して識別できます, ICS-CERTによって作成されました. ユーザーは、署名がすべての環境またはバリエーションでテストされているわけではないことに注意する必要があります, したがって、疑わしい所見がある場合, すぐにICS-CERTに連絡するように求められます.
