0
0
Uma recente tentativa do infame grupo de ameaças Sandworm da Rússia de interromper as operações de uma empresa de energia ucraniana chamou mais uma vez a atenção para a coleção , ainda um tanto limitada — de ferramentas publicamente conhecidas projetadas especificamente para interromper os sistemas de controle industrial.
Para o ataque, o Sandworm usou uma versão atualizada de uma ferramenta de malware apelidada de Industroyer/CrashOverride que deu aos atores de ameaças uma maneira de manipular equipamentos em subestações para desencadear quedas de energia. A equipe de resposta a emergências de computador da Ucrânia (CERT-UA) frustrou o ataque antes que qualquer dano fosse feito. Ele determinou que os atacantes queriam desativar subestações elétricas de alta tensão e outros elementos de infraestrutura na instalação alvo.
A Industroyer é uma das poucas ferramentas altamente sofisticadas que os pesquisadores de segurança descobriram nos últimos anos projetadas para dar aos atacantes acesso a sistemas que controlam equipamentos operacionais em instalações elétricas, empresas de petróleo e gás e outras organizações críticas de infraestrutura.
Ao contrário de outros malwares, que muitas vezes compartilham semelhanças em recursos e funções, as ferramentas de malware específicas do ICS tendem a ser altamente personalizadas para ambientes específicos. Stuxnet, um dos primeiros casos publicamente conhecidos de malware projetado para causar danos físicos aos sistemas, foi otimizado para danificar equipamentos na instalação de enriquecimento de urânio do Irã em Natanz. A versão de Industroyer usada no ataque recentemente frustrado na Ucrânia foi afinada para interromper os sistemas específicos na instalação alvo.
Daniel Kapellmann Zafra, gerente sênior de análise técnica da Mandiant, diz que o malware específico do ICS se tornou mais complexo, sofisticado e mais fácil de usar. Enquanto a Stuxnet foi entrada na instalação iraniana através de uma unidade USB, as mais novas ferramentas de malware de sua classe foram projetadas para a invasão de rede.
“O malware mais novo do OT [tecnologia de operações] é desenvolvido de maneiras pelas quais o ator pode confiar em sistemas intermediários em todo o OT para implantar o malware remotamente, tornando mais conveniente para o ator usá-lo contra um alvo”, diz Kapellmann Zafra. Ferramentas mais novas também são mais flexíveis, o que significa que podem ser ajustadas até certo ponto para que possam ser implantadas contra mais de um alvo.
Deral Heiland, principal pesquisador de segurança da Rapid7, diz que as ferramentas específicas do ICS geralmente aproveitam a funcionalidade normal do ambiente ICS/SCADA direcionado e protocolos de gerenciamento e controle associados. Os atacantes ganharam uma melhor compreensão dos protocolos de comunicação ICS/SCADA relativamente obscuros — como Codesys e Profinet — e estão usando esse conhecimento para desenvolver ferramentas sofisticadas.
Aqui está uma olhada em seis ferramentas de malware projetadas especificamente para atacar ambientes ICS.
FONTE: DARK READING