» »

Odkrito novo orodje za hekerske napade na industrijo

Odkrito novo orodje za hekerske napade na industrijo

vir: Dragos
Dragos - Več ameriških varnostnih agencij je prejšnji teden objavilo, da so v divjini našli novo orodje za kibernetske napade na industrijske krmilne sisteme, ki so ga poimenovali Pipedream. Zaenkrat ni videti, da bi bilo že sproženo.

Zlobno programje za napade na industrijske krmilne sisteme (ICS) popularno še vedno predstavlja tisto najnaprednejšo in potencialno najbolj uničevalno stopnjo v kibernetskem vojskovanju. Malo zato, ker terja res odlično poznavanje specializiranih industrijskih sistemov in hkrati zahtevne postopke dostave na želeno mesto, kar pomeni, da se s tem praviloma ukvarjajo dobro plačani državni hekerji. Malo zato, ker v primeru uspešnega napada lahko pride do katastrofalne škode na industriji. In malo zato, ker so še vedno precejšnja eksotika, saj smo doslej poznali zgolj štiri, med njimi črva Stuxnet, s katerim so Izraelci in Američani uničevali iranske centrifuge za bogatenje urana; črva Triton, s katerim so Rusi napadli rafinerijo v Savdski Arabiji; pa orodje Industroyer, s katerim so Rusi povzročali električne mrke v Ukrajini.

Po novem jih je pet, kajti pred tednom dni so v ameriški agenciji za kibernetsko varnost CISA, ministrstvu za energetiko, FBI in NSA objavili skupno opozorilo o najdbi novega tovrstnega orodja, ki ga v varnostnem podjetju Dragos imenujejo Pipedream. Od preteklega napadalnega programja te vrste se razlikuje v smislu, da ne gre za ozko usmerjeno aplikacijo, temveč pravzaprav za zajeten skupek najmanj petih različnih orodij, ki so namenjena napadanju različnih sistemov v verigi nadzora nad industrijskimi zmogljivostmi. Vsebuje torej tako funkcije za vdiranje v krovne strežnike, kakor tudi vdore v nadzorne sisteme SCADA in na koncu v programabilne krmilnike - in sicer podjetij Schneider Electric ter Omron. Oboji se najbolj uporabljajo v energetiki; Schneider Electricovi v elektroomrežjih, Omronovi pa v naftnem in plinskem sektorju.

Glede na dovršenost paketa Pipedream analitiki domnevajo, da so ga razvili v državno podprti entiteti, ki jo sicer v Dragosu imenujejo Chernovite. Američani trenutno ne želijo podajati obtožb, a glede na aktualne dogodke v Ukrajini se je težko znebiti občutka, da po tihem s prstom kažejo proti Rusiji. Prav tako niso pojasnili, kako natančno so se do programja dokopali - se pravi, ali so ga ujeli pripravljenega na kakšni tarči ali pa so ga zasegli še pred uporabo. Vemo le, da zaenkrat še ni bilo sproženo in torej še ni povzročalo škode, zato gre za enega redkih opozoril vnaprej, kar tudi kaže, kako visoko stopnjo resnosti varnostni organi namenjajo tej sorti zlobne kode.

9 komentarjev

gruntfürmich ::

kako se pa lahko tako velik program izogne protivirusnim programom?
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

JanBrezov ::

gruntfürmich je izjavil:

kako se pa lahko tako velik program izogne protivirusnim programom?

Antivirusni programi lahko najdejo samo že znane zlonamerne programe, zato pa je antivirusnike potrebno redno posodabljati. No, zdaj je pipedream znan in ga bodo dodali v bazo. Velikost nima tu nobene veze. V tem primeru niti ne gre za en velik program, ampak za množico manjših programov, ki tečejo na različnih platformah in komunicirajo med sabo.

DostMam ::

Drži. Dodati je treba, da antivirusni programi lahko na osnovi poteka, najdejo tudi programe, ki jih še nimajo v bazah. Temu rečejo hevristični pristop.
Problem je drugje: pisci Pipedreama so korak pred pisci antivirusnih programov.

gruntfürmich ::

ampak kako si lahko tako nekaj novega izmislijo, da jih obstoječi protivirusni programi ne zaznajo?

protivirusni programi gledajo program kot celoto ali vržejo uč na posamezne vrstice ali ukaze? ker verjetno nabor ukazov ne more biti nekaj novega, kar še do sedaj ni napisanega; ali pač?
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

A. Smith ::

Kolikor vem, gledajo AV programi tudi po vsticah exe, reg in nekaterih drugih fajlov. Pri tem videno primerjajo kot prvo s svojo bazo podatkov in kot drugo, spostijo kodo še skozi svoje heuristične algoitme, ki kdaj kaj odkrijejo, kdaj ne, kdaj pa sprožijo false alarm.
"Be professional, be polite,
but have a plan to kill everyone you meet".
- General James Mattis

mr_chai ::

gruntfürmich je izjavil:

ampak kako si lahko tako nekaj novega izmislijo, da jih obstoječi protivirusni programi ne zaznajo?



Zato ker noben program ni zlonameren. To oznako mu damo ljudje. Program je samo program, seznam ukazov, ki jih mora izvršiti CPU. Tukaj začneš, potem pa gradiš dalje na securityju.

gruntfürmich ::

mr_chai je izjavil:

gruntfürmich je izjavil:

ampak kako si lahko tako nekaj novega izmislijo, da jih obstoječi protivirusni programi ne zaznajo?



Zato ker noben program ni zlonameren. To oznako mu damo ljudje. Program je samo program, seznam ukazov, ki jih mora izvršiti CPU. Tukaj začneš, potem pa gradiš dalje na securityju.

verjetno izvedba ''delete all'' ne bi šla skozi sito protivirusnega programa, da pa malo spremeniš frekvenco delovanja in da se indikatorji drugače odzivajo ter regulatorji spremenijo parametre izhodov pa verjetno ni tako zaznavno...?
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

poweroff ::

gruntfürmich je izjavil:

ampak kako si lahko tako nekaj novega izmislijo, da jih obstoječi protivirusni programi ne zaznajo?

protivirusni programi gledajo program kot celoto ali vržejo uč na posamezne vrstice ali ukaze? ker verjetno nabor ukazov ne more biti nekaj novega, kar še do sedaj ni napisanega; ali pač?

Hevristični pristopi imajo svoje omejitve. Eden boljših pristopov je, da delaš analizo omrežnih povezav, ki jih aplikacija sproža oz. ugotavljaš anomalije na omrežnih povezavah in potem izslediš program, ki kliče C&C strežnike (če jih sploh kliče, seveda). Je pa to precej zahtevno. V airgapped sistemih pa seveda niti ni možno.

Spomnim se nekega orodja za iOS, ki je gledalo, če se v RAMu izvaja šifriranje - na ta način so skušali zaznati cryptolockerje. Zanimiv pristop, ki je kar dobro deloval.

Samo vsi ti pristopi imajo omejitve. Problem je pa seveda v tem, da AV program ne more ugotoviti ali program počne nekaj zlonamernega ali nekaj koristnega - to moramo ugotoviti ljudje.

V statičnih sistemih je lažje ugotavljati, če se pojavi kaj novega (lahko preveriš vsak binary, recimo tripwire je eno tako zanimivo orodje), v sistemih, kjer se stalno nekaj posodablja, namešča,... je pa to bistveno težje.
sudo poweroff

Evolve ::

A. Smith je izjavil:

Kolikor vem, gledajo AV programi tudi po vsticah exe, reg in nekaterih drugih fajlov. Pri tem videno primerjajo kot prvo s svojo bazo podatkov in kot drugo, spostijo kodo še skozi svoje heuristične algoitme, ki kdaj kaj odkrijejo, kdaj ne, kdaj pa sprožijo false alarm.


AV nima take moči.... ni to neki reverse engineering program, tudi če bi imel to na voljo AV ne ve ali je to legit kar izvaja ali ni.

AV kot osnovo jemlje bazo zlonamernih hashov oz signatur in jo primerja z hashi programov ki jih izvajaš. To je osnova. Ker je to enostavno zaobiti imajo potem vse žive dodatne tehnologije (Sandbox, AI, cloud analize, ipd).
Če program nima v bazi signature za virus (0 day threats) jo kljub temu lahko zaznajo lahko na podlagi obnašanja virusa - hevristična analiza. Te zadeve se tudi pogosto testirajo in kar nekaj antivirusov je uspešnih pri tej zazanavi

Še vedno je največji rizik tukaj človek. Če boš dal v exclude word.exe ker je pač ime pravo in to pač mora biti MS Word ne pa virus pol ti nč ne pomaga tudi najboljša zaščita ne :)

Kar se pa virusa iz članka tiče se pa tej napadi planirajo dlje časa in zelo previdno (običajno jih sprožijo zaposleni). Ni to nekaj, kar bi nekdo dobil preko maila in to zalafual. Na prvo žogo dost podobno kot stuxnet, ki je napadal točno določene naprave za bogatenje urana v Iranu, ko je zadeva ušla na wide web praktično ni bilo nobene škode.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sandworm tretjič napadel ukrajinsko elektroomrežje

Oddelek: Novice / Varnost
118879 (7098) Kapitan Jack
»

Rusija razbila skupino REvil

Oddelek: Novice / NWO
136329 (3330) Seljak
»

Napadi Log4Shell so preplavili svet

Oddelek: Novice / Varnost
3912258 (8330) win64
»

ZDA pod udarom širokopoteznega hekerskega napada

Oddelek: Novice / Varnost
1710815 (8099) Spock83
»

Kako resna podjetja komunicirajo? (strani: 1 2 )

Oddelek: Informacijska varnost
7322992 (18190) SeMiNeSanja

Več podobnih tem