Różności i nowinki technologia

Jak luka VPN pozwoliła oprogramowaniu ransomware zakłócić działanie dwóch zakładów produkcyjnych

Jak luka VPN pozwoliła oprogramowaniu ransomware zakłócić działanie dwóch zakładów produkcyjnych

Getty Images

Operatorzy ransomware zamknęli dwa zakłady produkcyjne należące do europejskiego producenta po wdrożeniu stosunkowo nowego szczepu, który szyfruje serwery kontrolujące procesy przemysłowe producenta, powiedział w środę badacz z Kaspersky Lab.

Oprogramowanie ransomware znane jako Cring zwróciło uwagę opinii publicznej w styczniowym poście na blogu. Przejmuje sieci, wykorzystując od dawna załatane luki w sieciach VPN sprzedawanych przez Fortinet. Śledzona jako CVE-2018-13379 luka umożliwiająca przenoszenie katalogów umożliwia nieuwierzytelnionym atakującym uzyskanie pliku sesji, który zawiera nazwę użytkownika i hasło w postaci zwykłego tekstu do sieci VPN.

Za pomocą początkowego uścisku operator Cring na żywo przeprowadza rekonesans i używa dostosowanej wersji narzędzia Mimikatz, próbując wyodrębnić dane uwierzytelniające administratora domeny przechowywane w pamięci serwera. Ostatecznie atakujący używają frameworka Cobalt Strike do zainstalowania Cringa. Aby zamaskować trwający atak, hakerzy ukrywają pliki instalacyjne jako oprogramowanie zabezpieczające firmy Kaspersky Lab lub innych dostawców.

Po zainstalowaniu ransomware blokuje dane za pomocą 256-bitowego szyfrowania AES i szyfruje klucz za pomocą klucza publicznego RSA-8192 zakodowanego na stałe w oprogramowaniu ransomware. Pozostawiona notatka wymaga dwóch bitcoinów w zamian za klucz AES, który odblokuje dane.

Więcej huku za grosze

W pierwszym kwartale tego roku Cring zainfekował nienazwanego niemieckiego producenta Wiaczesława Kopytsewa, poinformował w e-mailu członek zespołu ICS CERT firmy Kaspersky Lab. Infekcja rozprzestrzeniła się na serwer obsługujący bazy danych wymagane na linii produkcyjnej producenta. W rezultacie procesy zostały tymczasowo wstrzymane w dwóch zakładach zlokalizowanych we Włoszech, obsługiwanych przez producenta. Kaspersky Lab uważa, że ​​przestoje trwały dwa dni.

„Różne szczegóły ataku wskazują, że atakujący dokładnie przeanalizowali infrastrukturę zaatakowanej organizacji i przygotowali własną infrastrukturę i zestaw narzędzi w oparciu o informacje zebrane na etapie rekonesansu” – napisał Kopeytsev w poście na blogu. Dodał: „Analiza aktywności napastników pokazuje, że na podstawie wyników rozpoznania przeprowadzonego w sieci zaatakowanej organizacji zdecydowali się zaszyfrować te serwery, których utrata zdaniem atakujących spowodowałaby największe szkody w sieci zaatakowanej organizacji. działalność przedsiębiorstwa ”.

Osoby odpowiadające na incydenty ostatecznie przywróciły większość, ale nie wszystkie, zaszyfrowane dane z kopii zapasowych. Ofiara nie zapłaciła żadnego okupu. Nie ma doniesień o infekcjach powodujących szkody lub niebezpieczne warunki.

Mędrzec nie zważał na radę

W 2019 roku badacze zaobserwowali, że hakerzy aktywnie próbują wykorzystać krytyczną lukę w zabezpieczeniach FortiGate VPN. W tym czasie do Internetu było podłączonych około 480 000 urządzeń. W zeszłym tygodniu agencja FBI i Cybersecurity and Infrastructure Security stwierdziła, że ​​CVE-2018-13379 jest jedną z kilku luk w zabezpieczeniach FortiGate VPN, które prawdopodobnie były aktywnie wykorzystywane w przyszłych atakach.

Fortinet w listopadzie poinformował, że wykrył „dużą liczbę” urządzeń VPN, które pozostały niezałatane względem CVE-2018-13379. Doradca powiedział również, że urzędnicy firmy byli świadomi doniesień, że adresy IP tych systemów są sprzedawane na podziemnych forach przestępczych lub że ludzie przeprowadzają skanowanie w całym Internecie, aby samodzielnie znaleźć niezałatane systemy.

Oprócz niepowodzenia instalacji aktualizacji Kopeytsev powiedział, że niemiecki producent zaniedbał również zainstalowanie aktualizacji antywirusowych i ograniczył dostęp do wrażliwych systemów tylko wybranym pracownikom.

To nie pierwszy raz, gdy proces produkcyjny został zakłócony przez złośliwe oprogramowanie. W 2019 i ponownie w zeszłym roku Honda wstrzymała produkcję po zainfekowaniu ransomware WannaCry i nieznanym złośliwym oprogramowaniem. Jeden z największych na świecie producentów aluminium, norweski Norsk Hydro, został dotknięty atakiem ransomware w 2019 roku, który zamknął jego światową sieć, zatrzymał lub zakłócił działanie fabryk i zmusił pracowników IT do powrotu do normalnej działalności.

Instalowanie poprawek i rekonfiguracja urządzeń w warunkach przemysłowych może być szczególnie kosztowna i trudna, ponieważ wiele z nich wymaga ciągłej pracy, aby utrzymać rentowność i dotrzymać harmonogramu. Zamknięcie linii montażowej w celu zainstalowania i przetestowania aktualizacji zabezpieczeń lub wprowadzenia zmian w sieci może prowadzić do rzeczywistych wydatków, które nie są trywialne. Oczywiście zmuszanie operatorów ransomware do samodzielnego zamykania procesu przemysłowego jest jeszcze bardziej tragicznym scenariuszem.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook