Tal van industriële besturingssystemen (ICS) in de Verenigde Staten werden problemen bij een schadelijke actie een versie van de BalckEnergy toolkit dat was ten minste drie jaar geleden gelanceerd.
De HMI producten van Advantech / Broadwin WebAccess, GE Cimplicity en Siemens WinCC doelwit waren in de campagne, meldde de Amerikaanse Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). De deskundigen vermoeden dat andere oplossingen ook kunnen worden aangetast, maar er is geen hard bewijs tot nu toe.
De architectuur van BlackEnergy is modulair, waardoor de implementatie van nieuwe modules extra functies dekken. De malware is bekend dat tal van mogelijkheden te bezitten, maar onderzoekers hebben alleen het gebruik van modules geconfigureerd voor zijdelingse beweging op het web waargenomen. Wat ze doen is het scannen van verwisselbare media en gedeelde locaties. Experts hebben geen bewijs gevonden van BlackEnergy bemoeien met de controle processen op de besmette systeem.
Aanvalsvectoren van BlackEnergy
De cybercriminelen hebben de CVE-2014-0751 kwetsbaarheid op GE Cimplicity leveraged, die hen in staat stelt om de willekeurige code uit te voeren via een speciaal ontworpen bericht naar TCP-poort 10212 vanaf een externe locatie.
De glitch werd publiekelijk gemeld aan het begin van het jaar, maar volgens de ICS-CERT de hackers zijn geweest misbruik van dit lek sinds het begin van 2012. In de campagne gericht Cimplicity producten, BlackEnergy volgt een self-delete patroon direct na de installatie. Te vinden en aan te vallen kwetsbare systemen, de boeven zijn waarschijnlijk met behulp van geautomatiseerde hulpmiddelen. De deskundigen waarschuwen al de bedrijven die zijn met behulp Cimplicity sinds 2012 hun HMI direct op de Web opdat zij geïnfecteerd met BlackEnergy.
De aanval vectoren voor verdere HMI producten niet zijn tot nu toe gedefinieerd. Computers met behulp van Advantech / Broadwin WebAccess besturingssoftware en WinCC hebben een rode vlag omdat dossiers met betrekking tot BlackEnergy zijn gespot op hen.
Aanbeveling Experts '
Bedrijven die industriële besturingssystemen werken worden sterk aangeraden om hun activa te herzien voor elk teken van infectie.
De BlackEnergy inbraak kan worden geïdentificeerd met behulp van de Yara handtekening, aangemaakt door ICS-CERT. Gebruikers moeten in gedachten houden dat de handtekening is niet getest voor alle omgevingen of variaties, zodat in geval van een vermoeden van bevindingen, ze zijn sked om onmiddellijk contact op ICS-CERT.
