Inúmeros sistemas de controle industrial (ICS) nos EUA foram comprometidos em uma campanha maliciosa usando uma versão do Kit de ferramentas BalckEnergy que foi lançado há pelo menos três anos.
Os produtos HMI do Advantech / Broadwin WebAccess, GE Cimplicity e Siemens WinCC foram alvos da campanha, relatou a Equipe de Resposta a Emergências Cibernéticas dos Sistemas de Controle Industrial dos EUA (ICS-CERT). Os especialistas suspeitam que outras soluções também podem estar comprometidas, mas não há nenhuma evidência concreta até agora.
A arquitetura do BlackEnergy é modular, permitindo assim a implementação de novos módulos para cobrir funções adicionais. O malware é conhecido por possuir vários recursos, ainda os pesquisadores observaram apenas o uso de módulos configurados para movimento lateral na web. O que eles fazem é procurar mídia removível e locais compartilhados. Os especialistas não encontraram nenhuma evidência de BlackEnergy interferindo nos processos de controle no sistema comprometido.
Vetores de Ataque de BlackEnergy
Os cibercriminosos aproveitaram a vulnerabilidade CVE-2014-0751 no GE Cimplicity, que lhes permite executar o código arbitrário por meio de uma mensagem especialmente projetada para a porta TCP 10212 de um local remoto.
A falha foi relatada publicamente no início do ano, mas de acordo com o ICS-CERT, os hackers têm explorado a vulnerabilidade desde o início de 2012. Na campanha direcionada aos produtos Cimplicity, BlackEnergy segue um padrão de auto-exclusão logo após a instalação. Para encontrar e atacar sistemas vulneráveis, os bandidos provavelmente estão usando ferramentas automatizadas. Os especialistas alertam todas as empresas que usam o Cimplicity desde então 2012 com seu HMI conectado diretamente à Web para que possam estar infectados com BlackEnergy.
Os vetores de ataque para outros produtos HMI não foram definidos até agora. Os computadores que usam o software de controle Advantech / Broadwin WebAccess e WinCC foram marcados com a bandeira vermelha porque arquivos relacionados ao BlackEnergy foram localizados neles.
Recomendação de especialistas
As empresas que operam sistemas de controle industrial são fortemente recomendadas a revisar seus ativos para qualquer sinal de infecção.
A intrusão BlackEnergy pode ser identificada com a ajuda da assinatura Yara, criado por ICS-CERT. Os usuários devem ter em mente que a assinatura não foi testada para todos os ambientes ou variações, então, no caso de qualquer descoberta suspeita, eles devem entrar em contato com ICS-CERT imediatamente.