Kampania ataków atakuje przemysłowe systemy kontroli za pomocą szkodliwego oprogramowania BlackEnergy

Od 2011 r. grupa atakujących atakuje firmy, które operują przemysłowymi systemami kontroli za pomocą backdoora o nazwie BlackEnergy.

"Wiele firm współpracujących z ICS-CERT zidentyfikowało szkodliwe oprogramowanie na połączonych z Internetem interfejsach człowiek-maszyna ( HMI), "Zespół Kontroli Przemysłowej Cyber ​​Awaryjnego Reagowania (ICS-CERT), oddział amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego, powiedział we wtorek we wtorek o bezpieczeństwie

HMI to aplikacje, które zapewniają graficzny interfejs użytkownika do monitorowania i interakcji z maszynami przemysłowymi. Są elementem systemów SCADA (kontrola nadzorcza i akwizycja danych), które są używane w środowiskach przemysłowych.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

ICS-CERT nie zidentyfikował przypadków, w których BlackEnergy Złośliwe oprogramowanie zostało użyte do uszkodzenia, modyfikacji lub zakłócenia procesów kontrolowanych przez zhakowane interfejsy HMI i nie jest jasne, czy napastnicy wykorzystali te interfejsy w celu uzyskania większego dostępu do systemów sterowania przemysłowego.

Organizacja uważa, że ​​atakujący BlackEnergy celowali w rozmieszczanie produktów HMI od trzech różnych dostawców: Cimplicity HMI firmy General Electric, SIMATIC Siemens SIMCCIC i WebAccess firmy Siemens, również dystrybuowane przez Advantech.

Instalacja HMI firmy Cimplicity została naruszona dzięki podatności, którą GE wydała łatka w grudniu 2013 r. Jednak ICS-CERT uważa, że grupa atakujących wykorzystuje lukę w zabezpieczeniach od co najmniej stycznia 2012 r.

"ICS-CERT obawia się, że każda firma, która uruchomiła Ci mplicity od 2012 roku z ich HMI bezpośrednio połączonym z Internetem może zostać zainfekowany złośliwym oprogramowaniem BlackEnergy ", ponieważ agresorzy najprawdopodobniej wykorzystali zautomatyzowane narzędzia do wykrywania i narażania systemów podlegających awariom, podała organizacja.

ICS-CERT nie ustaliło jeszcze wektorów ataku dla SIMATIC WinCC i Advantech / BroadWin WebAccess HMI, ale mają powody, by sądzić, że klienci tych produktów są również celem.

GE wydał ostrzeżenie o kampanii BlackEnergy na swojej stronie internetowej dotyczącej bezpieczeństwa. "Zalecamy klientom, którzy mają zainstalowane produkty GE CIMPLICITY, przestrzegania zasad bezpieczeństwa i instalowania najnowszych poprawek" - powiedziała firma. Powiadomienie zawiera link do dokumentu wsparcia dostępnego tylko dla klientów.

Siemens opublikował ostrzeżenie również na swojej stronie internetowej. "Siemens został poinformowany, że plik wykryty podczas analizy złośliwego oprogramowania BlackEnergy może być powiązany z produktem SIMATIC WinCC" - czytamy w komunikacie. "Eksperci z firmy Siemens i ICS-CERT badają ten problem i dostarczają aktualizacje informacji tak szybko, jak to możliwe."

Naukowcy zajmujący się bezpieczeństwem przewidują ataki złośliwego oprogramowania na systemy SCADA od czasu odkrycia robaka cyberprzestępczego Stuxnet w 2010 roku. Te prognozy zmaterializowały to rok: BlackEnergy to drugi program szkodliwego oprogramowania wykryty w ciągu ostatnich kilku miesięcy, który jest bezpośrednio związany z atakami na systemy kontroli przemysłowej.

BlackEnergy to to samo złośliwe oprogramowanie, które zostało użyte przez rosyjską grupę cyberbezpieczeństwa nazwaną Sandworm, aby atakować organizacje takie jak sojusz NATO, firmy energetyczne i firmy telekomunikacyjne. W niedawno opublikowanej kampanii ataków grupa wykorzystała lukę w zabezpieczeniach systemu Windows.

Ta luka w zabezpieczeniach systemu Windows, która została załatana 14 października, nie była używana do kierowania środowiskami przemysłowego sterowania, powiedział ICS-CERT. "Jednak analiza ustaleń technicznych w obu raportach pokazuje powiązania między wspólną infrastrukturą dowodzenia i kontroli między kampaniami, sugerując, że obie są częścią szerszej kampanii tego samego aktora zagrożenia."