0
0
As equipes de segurança em ambientes de sistemas de controle industrial (ICS) estão lutando contra um worm que ultrapassa as defesas sem espaço.
Pesquisadores do Kaspersky ICS-CERT têm investigado ataques cibernéticos contra ICS e infraestrutura crítica na Europa Oriental e descobriram um novo malware de segundo estágio que contorna a típica segurança de dados fornecida por um sistema air gap. Os agentes de ameaças estavam tentando estabelecer uma presença permanente nas redes de destino para exfiltração de dados, disse a equipe.
Primeiro, os invasores usam ferramentas conhecidas de acesso remoto e coleta de dados para obter uma posição inicial na rede ICS . Em seguida, eles implantam um malware modular “sofisticado” contra as redes ICS sem ar , que contamina as unidades de armazenamento removíveis com um worm que exfiltra os dados direcionados. A partir daí, eles estão a apenas um passo de conseguir transmitir dados roubados para fora do ambiente.
“O malware, projetado explicitamente para exfiltrar dados de sistemas sem ar, infectando unidades removíveis, consiste em pelo menos três módulos, cada um responsável por diferentes tarefas, como criação de perfil e manuseio de unidades removíveis, captura de tela e instalação de malware de segunda etapa em unidades recém-conectadas”, diz o relatório .
A equipe também detectou outro implante de segundo estágio usado nos ataques, que envia dados roubados de um computador local para o Dropbox, acrescentou a equipe da Kaspersky.
Os ciberataques conseguiram escapar da detecção ocultando cargas criptografadas em seu próprio arquivo binário e usando o seqüestro de DLL para incorporar o malware na memória de aplicativos autorizados, explicaram os pesquisadores.
“Os esforços deliberados do agente da ameaça para ofuscar suas ações por meio de cargas criptografadas, injeções de memória e sequestro de DLL [ressaltam] a sofisticação de suas táticas”, disse Kirill Kruglov, pesquisador sênior de segurança da Kaspersky ICS CERT, sobre as novas descobertas.
A peça final da cadeia de ataque cibernético necessária para realizar a exfiltração total de dados seria uma terceira lista de ferramentas que carregam dados roubados para o servidor de comando e controle (C2). Kruglov acrescentou que a equipe de Kasperky continuará investigando.
FONTE: DARKREADING