Casa > cibernético Notícias > BlackEnergy Targeting Industrial Control Systems nos EUA
CYBER NEWS

BlackEnergy visando sistemas de controle industrial nos EUA

Inúmeros sistemas de controle industrial (ICS) nos EUA foram comprometidos em uma campanha maliciosa usando uma versão do Kit de ferramentas BalckEnergy que foi lançado há pelo menos três anos.
BlackEnergy
Os produtos HMI do Advantech / Broadwin WebAccess, GE Cimplicity e Siemens WinCC foram alvos da campanha, relatou a Equipe de Resposta a Emergências Cibernéticas dos Sistemas de Controle Industrial dos EUA (ICS-CERT). Os especialistas suspeitam que outras soluções também podem estar comprometidas, mas não há nenhuma evidência concreta até agora.

A arquitetura do BlackEnergy é modular, permitindo assim a implementação de novos módulos para cobrir funções adicionais. O malware é conhecido por possuir vários recursos, ainda os pesquisadores observaram apenas o uso de módulos configurados para movimento lateral na web. O que eles fazem é procurar mídia removível e locais compartilhados. Os especialistas não encontraram nenhuma evidência de BlackEnergy interferindo nos processos de controle no sistema comprometido.

Vetores de Ataque de BlackEnergy

Os cibercriminosos aproveitaram a vulnerabilidade CVE-2014-0751 no GE Cimplicity, que lhes permite executar o código arbitrário por meio de uma mensagem especialmente projetada para a porta TCP 10212 de um local remoto.

A falha foi relatada publicamente no início do ano, mas de acordo com o ICS-CERT, os hackers têm explorado a vulnerabilidade desde o início de 2012. Na campanha direcionada aos produtos Cimplicity, BlackEnergy segue um padrão de auto-exclusão logo após a instalação. Para encontrar e atacar sistemas vulneráveis, os bandidos provavelmente estão usando ferramentas automatizadas. Os especialistas alertam todas as empresas que usam o Cimplicity desde então 2012 com seu HMI conectado diretamente à Web para que possam estar infectados com BlackEnergy.

Os vetores de ataque para outros produtos HMI não foram definidos até agora. Os computadores que usam o software de controle Advantech / Broadwin WebAccess e WinCC foram marcados com a bandeira vermelha porque arquivos relacionados ao BlackEnergy foram localizados neles.

Recomendação de especialistas

As empresas que operam sistemas de controle industrial são fortemente recomendadas a revisar seus ativos para qualquer sinal de infecção.

A intrusão BlackEnergy pode ser identificada com a ajuda da assinatura Yara, criado por ICS-CERT. Os usuários devem ter em mente que a assinatura não foi testada para todos os ambientes ou variações, então, no caso de qualquer descoberta suspeita, eles devem entrar em contato com ICS-CERT imediatamente.

Berta Bilbao

Berta é um pesquisador de malware dedicado, sonhando para um espaço cibernético mais seguro. Seu fascínio com a segurança de TI começou há alguns anos atrás, quando um malware bloqueado la fora de seu próprio computador.

mais Posts

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo