Microsoft informuje o atakach na firmy produkujące szczepionki
Microsoft opublikował na swoim blogu informacje, że wykrył próby kradzieży cennych danych od czołowych firm farmaceutycznych i producentów szczepionek. Atakującymi mają być grupy wspierane przez państwo: rosyjskich i północnokoreańskich hakerów.
W piątkowym poście napisano, że większość ataków w ostatnich miesiącach zakończyła się niepowodzeniem, ale nie podano żadnych informacji o tym, ile z nich się powiodło ani jak poważne były naruszenia. Microsoft powiedział, że większość celów – zlokalizowanych w Kanadzie, Francji, Indiach, Korei Południowej i Stanach Zjednoczonych – była „bezpośrednio zaangażowana w badania nad szczepionkami i metodami leczenia COVID-19”. Nie wymieniono celów, ale stwierdzono, że większość z nich miała zaawansowane badania kliniczne na różnych etapach rozwoju.
Firma zidentyfikowała jedną z wspieranych przez państwo grup hakerskich jako Fancy Bear, rosyjskich agentów wojskowych, o których brytyjskie Narodowe Centrum Cyberbezpieczeństwa powiedział w lipcu, że stoją za takimi próbami włamań. Dwie inne to Lazarus Group z Korei Północnej i grupa, którą Microsoft nazywa Cerium. Większość włamań polegała na próbach kradzieży danych logowania osób związanych z atakowanymi organizacjami. Grupa Lazarus udawała rekruterów, podczas gdy Cerium celowało w wiadomości e-mail typu spear phishing, które udawały wiadomości od przedstawicieli Światowej Organizacji Zdrowia. Wpis na blogu zbiegł się w czasie z wystąpieniem prezesa Microsoft Brada Smitha na międzynarodowym forum wzywającym narody do ochrony placówek służby zdrowia przed cyberatakami. W tym roku Forum Pokoju w Paryżu odbywa się online.
Ataki na systemy produkcyjne według raportu Dragos
Raport opublikowany w czwartek przez firmę Dragos zajmującą się cyberbezpieczeństwem przemysłowym ujawnia, że sektor produkcyjny narażony jest na ataki, które koncentrują się na środowiskach przemysłowych.
Zdaniem Dragosa sektor produkcyjny jest narażony na coraz większe ryzyko cyberataków, w tym ataków, których celem może być zakłócenie procesów przemysłowych, oraz tych, których celem jest zebranie wrażliwych informacji. Jednak firma twierdzi, że nie zaobserwowała żadnych poważnych ani skomplikowanych incydentów związanych ze złośliwym oprogramowaniem specyficznym dla ICS, które wzięło by na cel wyłącznie operacje produkcyjne.
Lista grup skupionych na ICS, które Dragos zauważył, celując w organizacje z tej branży, obejmuje CHRYSEN, PARISITE, MAGNALLIUM, WASSONITE i XENOTIME.
MAGNALLIUM to grupa powiązana z Iranem, która działa co najmniej od 2013 roku. Wiadomo, że atakowała firmy z Europy, Ameryki Północnej, Korei Południowej i Arabii Saudyjskiej. MAGNALLIUM nie atakuje głównie ICS, ale Dragos ostrzega, że destrukcyjne złośliwe oprogramowanie wiper używane przez hakerów w środowiskach IT może być również wykorzystywane w sieciach systemów sterowania. PARISITE to oddzielna grupa, która pomaga MAGNALLIUM uzyskać dostęp do docelowych systemów. WASSONITE to grupa powiązana z Koreą Północną, której celem są organizacje w Indiach, Korei Południowej i Japonii. Działa od co najmniej 2018 r., ale nie wydaje się, aby posiadał zdolności potrzebne do spowodowania zakłóceń lub zniszczeń w środowiskach przemysłowych. Grupa CHRYSENE powiązana z Iranem jest znana z tego, że atakuje sieci przemysłowe na Bliskim Wschodzie i w Wielkiej Brytanii. Projekt CHRYSENE skupił się na penetracji sieci i przeprowadzaniu rozpoznania specyficznego dla ICS. Z drugiej strony XENOTIME jest jedyną znaną grupą skierowaną na przemysł wytwórczy, która ma możliwość przeprowadzania destrukcyjnych ataków ICS, o czym świadczy atak z 2017 r. Obejmujący złośliwe oprogramowanie Trisis / Triton. „Szkodnik” został powiązany z rosyjskim instytutem badawczym.
Jeśli hakerzy chcą zaatakować ICS w organizacjach produkcyjnych, mają do dyspozycji wiele luk w zabezpieczeniach, które mogą wykorzystać, aby osiągnąć swoje cele. Według Dragosa istnieje ponad 260 luk w zabezpieczeniach sprzętu używanego zwykle w środowiskach produkcyjnych, a wiele z nich może mieć wpływ na bezpieczeństwo.
Dragos poinformował również o rosnącej liczbie ataków ransomware wymierzonych w ICS, a firma uważa, że oprogramowanie ransomware jest „najpowszechniejszym zagrożeniem dla produkcji”. Istnieje kilka rodzin oprogramowania ransomware, które mogą atakować procesy związane z oprogramowaniem OT. Dragos powiedział, że inne poważne zagrożenia, przed którymi stoi sektor wytwórczy, to szpiegostwo przemysłowe i kradzież własności intelektualnej.
Nowe zagrożenie dla Linuksa w urządzeniach Schneider Electric
Jedna z informacji bezpieczeństwa opublikowanych w tym tygodniu przez Schneider Electric ostrzega klientów przed Drovorubem, złośliwym oprogramowaniem dla Linux, które zostało niedawno szczegółowo opisane przez biuletyn NSA i FBI.
Drovorub zawiera implant, rootkit modułu jądra, narzędzia do przesyłania plików i przekierowania portów oraz serwer C&C. Po wdrożeniu na urządzeniu szkodliwe oprogramowanie umożliwia swoim operatorom pobieranie i przesyłanie plików, wykonywanie poleceń z uprawnieniami roota oraz przekierowywanie portów. Posiada również mechanizmy trwałości i unikania wykrycia.
Drovorub wpływa na systemy z jądrem Linux w wersji 3.7 lub niższej. Schneider Electric doradziła klientom wdrożenie szczegółowych zaleceń dotyczących obrony ich urządzeń Trio Q Data Radio i Trio J Data Radio przed złośliwym oprogramowaniem. Produkty te to radiotelefony Ethernet i szeregowe, przeznaczone do bezprzewodowej komunikacji danych dalekiego zasięgu w zastosowaniach SCADA i zdalnej telemetrii. Według Schneidera zainstalowanie złośliwego oprogramowania na tych urządzeniach „może spowodować, że atakujący uzyska możliwość bezpośredniej komunikacji z kontrolowaną przez aktorów infrastrukturą dowodzenia i kontroli, możliwościami pobierania i wysyłania plików, wykonywaniem dowolnych poleceń, przekierowywaniem ruchu sieciowego do innych hostów w sieć i zaimplementowania techniki ukrywania, aby uniknąć wykrycia”.