stringtranslate.com

Хавекс

Вредоносная программа Havex , также известная как Backdoor.Oldrea, представляет собой троян удаленного доступа (RAT), используемый российской приписываемой APT- группой « Энергичный Медведь » или «Стрекоза». [1] [2] Havex был обнаружен в 2013 году и является одним из пяти известных вредоносных программ, специально разработанных для АСУ ТП , разработанных за последнее десятилетие. К таким вредоносным программам относятся Stuxnet , BlackEnergy , Industroyer/CRASHOVERRIDE и TRITON/TRISIS . [3] Energetic Bear начал использовать Havex в широкомасштабной шпионской кампании, направленной против энергетического, авиационного, фармацевтического, оборонного и нефтехимического секторов. [1] Кампания была ориентирована на жертв в первую очередь в США и Европе. [2]

Открытие

Вредоносная программа Havex была обнаружена исследователями кибербезопасности из F-Secure и Symantec , о ней сообщила ICS-CERT на основе информации обеих этих компаний в 2013 году . по нескольким векторам атак и с использованием OPC для проведения разведки промышленного оборудования в целевой сети. [2]

Описание

Вредоносная программа Havex состоит из двух основных компонентов: RAT и C&C-сервера, написанного на PHP. [4] Havex также включает в себя модуль сканирования OPC ( Open Platform Communications ), используемый для поиска промышленных устройств в сети. [2] Модуль сканирования OPC был разработан для поиска TCP-устройств, работающих на портах 44818, 105 и 502. [6] Исследователи из SANS отметили, что эти порты являются общими для компаний ICS/SCADA, таких как Siemens и Rockwell Automation. [6] Злоупотребляя протоколом OPC , Havex однажды сопоставил промышленные сети внутри систем-жертв. [7] Исследователи отмечают, что модуль сканирования OPC работал только на более старом стандарте OPC на основе DCOM (объектная модель распределенных компонентов), а не на более поздней унифицированной архитектуре OPC (UA). [2] Havex присоединяется к категории вредоносных программ, адаптированных для АСУ ТП, поскольку он создан для сбора информации об этих конкретных системах. Помимо целенаправленных фишинговых кампаний, компания Havex также использовала атаки на цепочки поставок и «водопой» на веб-сайты поставщиков АСУ ТП, чтобы получить доступ к системам жертв. [5] [6] Атаки на водопои и цепочки поставок имели двоякую методологию. В первом методе жертвы перенаправлялись с веб-сайтов законных поставщиков на поврежденные страницы, содержащие вредоносное ПО Havex. [1] Во втором методе злоумышленники взломали уязвимые веб-сайты поставщиков и повредили законное программное обеспечение, чтобы внедрить Havex RAT. В этом случае пользователи неосознанно загружали вредоносное ПО при загрузке легального программного обеспечения с веб-сайтов поставщиков. [6] Этот метод позволял вредоносному ПО обойти традиционные меры безопасности, поскольку программное обеспечение загружалось пользователями, имеющими разрешение на установку программ в сеть. Известными скомпрометированными поставщиками были MESA Imaging, eWON/Talk2M и MB Connect Line. [8] Хотя векторы атак были нацелены на бизнес-сети, отсутствие надежных брешей во многих средах АСУ ТП могло позволить таким вредоносным программам, как Havex, легко переходить из бизнес-сетей в промышленные сети и заражать оборудование АСУ ТП/SCADA. Havex, как и другие вредоносные программы с бэкдором, также позволяет внедрять другой вредоносный код на устройства жертвы. В частности, Havex часто использовался для внедрения полезной нагрузки Karagany на скомпрометированные устройства. Карагани мог красть учетные данные, делать снимки экрана и передавать файлы на командные серверы Dragonfly и обратно. [6]

Затронутые регионы и жертвы

Группа Dragonfly использовала вредоносное ПО Havex в шпионской кампании против энергетики и авиации. жертвы фармацевтической, оборонной и нефтехимической промышленности, в первую очередь в США и Европе. [1] По оценкам исследователей кибербезопасности из Драгоса, кампания охватила более 2000 сайтов в этих регионах и секторах. [9] Исследователи Symantec заметили, что вредоносное ПО Havex начало искать цели в энергетической инфраструктуре после того, как первоначально было нацелено на оборонный и авиационный секторы США и Канады. [10] В процессе обнаружения исследователи изучили 146 командных серверов, связанных с кампанией Havex, и 88 вариантов вредоносного ПО. [11]

Наборы эксплойтов

Внедрение перенаправления веб-сайта

Havex заражал системы посредством атак с использованием водопоя, перенаправлявших пользователей на вредоносные веб-сайты. [1] Поврежденные веб-сайты в этой кампании использовали наборы эксплойтов LightsOut и Hello для заражения систем троянами Havex и Karagany. [10] Эксплойт-кит LightsOut использовал уязвимости Java и браузера для доставки полезных данных Havex и Karagany. [10] Набор эксплойтов Hello представляет собой обновленную версию набора эксплойтов LightsOut, введенный в эксплуатацию в 2013 году. [10] Обновленный набор эксплойтов Hello использует посадочное место для определения целевых версий ОС, шрифтов, надстроек браузера и другой пользовательской информации. . [10] После сбора этой информации набор эксплойтов перенаправляет жертву на вредоносный URL-адрес на основе наиболее эффективных эксплойтов для получения доступа к цели. [10]

Рекомендации

  1. ^ abcde "Хавекс". НЮКЦИК . Проверено 18 апреля 2018 г.
  2. ^ abcde «Вредоносное ПО, ориентированное на ICS | ICS-CERT». ics-cert.us-cert.gov . Проверено 18 апреля 2018 г.
  3. ^ «Злоумышленники развертывают новую платформу атак ICS «TRITON» и вызывают сбой в работе критической инфраструктуры | FireEye» . Проверено 14 мая 2018 г.
  4. ^ ab «Вредоносное ПО, ориентированное на ICS (обновление A) | ICS-CERT». ics-cert.us-cert.gov . Проверено 18 апреля 2018 г.
  5. ^ ab «Кампания кибершпионажа на основе Havex RAT поразила системы ICS / SCADA» . Дела безопасности . 25 июня 2013 г. Проверено 18 апреля 2018 г.
  6. ^ abcde Нельсон, Нелл (18 января 2016 г.). «Влияние вредоносного ПО Dragonfly на промышленные системы управления». Институт САНС.
  7. ^ «CRASHOVERRIDE: Анализ угроз работе электросетей» (PDF) .
  8. ^ «Полное раскрытие троянов Havex - блог NETRESEC» . Нетресек . 27 октября 2014 года . Проверено 15 апреля 2018 г.
  9. ^ «CRASHOVERRIDE: Анализ угроз работе электросетей» (PDF) .
  10. ^ abcdef «Стрекоза: атаки кибершпионажа против поставщиков энергии» (PDF) . 7 июля 2014 г. Архивировано из оригинала (PDF) 1 августа 2014 г.
  11. ^ «Злоумышленники используют Havex RAT против промышленных систем управления | SecurityWeek.Com» . www.securityweek.com . Проверено 18 апреля 2018 г.