WikiDer > Havex - Википедия

Havex - Wikipedia

Вредоносные программы Havex, также известный как Backdoor.Oldrea, является КРЫСА нанятый российской приписываемой группой APT «Энергетический медведь» или «Стрекоза».[1][2] Havex был обнаружен в 2013 году и является одним из пяти известных вредоносных программ для АСУ ТП, разработанных за последнее десятилетие. Эти вредоносные программы включают Stuxnet, BlackEnergy, Промышленник / CRASHOVERIDE, и ТРИТОН / ТРИСИС.[3] Energetic Bear начал использовать Havex в широкомасштабной шпионской кампании, нацеленной на энергетический, авиационный, фармацевтический, оборонный и нефтехимический секторы.[1] Кампания была нацелена на жертв в первую очередь в Соединенных Штатах и ​​Европе.[2]

Открытие

Вредоносное ПО Havex было обнаружено исследователями кибербезопасности в F-Secure и Symantec и сообщил ICS-CERT используя информацию от обеих этих фирм в 2014 году.[4][5] В ICS-CERT Alert сообщается об анализе новой вредоносной кампании, нацеленной на оборудование АСУ ТП с помощью нескольких векторов атак и использовании OPC для проведения разведки промышленного оборудования в целевой сети.[2]

Описание

Вредоносное ПО Havex состоит из двух основных компонентов: RAT и C&C сервера, написанного на PHP.[4] Havex также включает OPC (Открытые платформенные коммуникации) модуль сканирования, используемый для поиска промышленных устройств в сети.[2] Модуль сканирования OPC был разработан для сканирования устройств TCP, работающих на портах 44818, 105 и 502.[6] Исследователи SANS отметили, что эти порты являются общими для ICS / SCADA такие компании, как Siemens и Rockwell Automation.[6] Злоупотребляя OPC Протокол Havex отображал промышленные сети внутри систем-жертв.[7] Исследователи отмечают, что модуль сканирования OPC работал только на более старых DCOMна основе стандарта OPC (распределенной компонентной объектной модели), а не более поздней унифицированной архитектуры OPC (UA).[2] Havex присоединяется к категории вредоносных программ, специально предназначенных для АСУ ТП, поскольку оно предназначено для сбора информации в этих конкретных системах. Havex также использовала цепочку поставок и атаки водопоя на веб-сайтах поставщиков АСУ ТП в дополнение к целевым фишинговым кампаниям для получения доступа к системам-жертвам.[5][6] Атаки на водопой и цепочки поставок имели двоякую методологию. В первом методе жертвы перенаправлялись с веб-сайтов законных поставщиков на поврежденные страницы, содержащие вредоносное ПО Havex.[1] Во втором методе злоумышленники взломали уязвимые веб-сайты поставщиков и повредили легитимное программное обеспечение, чтобы внедрить Havex RAT. Затем пользователи неосознанно загружали вредоносное ПО при загрузке законного программного обеспечения с веб-сайтов поставщиков.[6] Этот метод позволил вредоносному ПО обойти традиционные меры безопасности, поскольку программное обеспечение было загружено пользователями с разрешением на установку программ в сети. Известными поставщиками взлома были MESA Imaging, eWON / Talk2M и MB Connect Line.[8] Хотя векторы атак были нацелены на бизнес-сети, отсутствие надежных воздушных зазоров во многих средах АСУ ТП могло позволить вредоносным программам, таким как Havex, легко переходить из бизнес-сетей в промышленные сети и заражать оборудование ICS / SCADA. Havex, как и другие вредоносные программы-бэкдоры, также позволяет внедрять другой вредоносный код на устройства жертвы. В частности, Havex часто использовался для внедрения полезной нагрузки Караганы на скомпрометированные устройства. Караганы мог красть учетные данные, делать снимки экрана и передавать файлы на серверы Dragonfly C&C и обратно.[6]

Затронутые регионы и жертвы

Группа Dragonfly использовала вредоносное ПО Havex в шпионской кампании против энергетики и авиации. пострадавшие от фармацевтической, оборонной и нефтехимической промышленности в первую очередь в США и Европе.[1] По оценкам исследователей кибербезопасности Dragos, кампания была нацелена на более 2000 сайтов в этих регионах и секторах.[9] Исследователи из Symantec Согласно наблюдениям, вредоносное ПО Havex начало поиск объектов энергетической инфраструктуры после того, как первоначально нацелилось на оборонный и авиационный секторы США и Канады.[10] В процессе обнаружения исследователи изучили 146 командных серверов, связанных с кампанией Havex, и 88 вариантов вредоносного ПО.[11]

Наборы эксплойтов

Внедрение перенаправления веб-сайта

Havex заразил системы с помощью атак, перенаправляющих пользователей на вредоносные веб-сайты.[1] Поврежденные веб-сайты в этой кампании использовали наборы эксплойтов LightsOut и Hello для заражения систем троянами Havex и Karagany.[10] Набор эксплойтов LightsOut злоупотреблял уязвимостями Java и браузера для доставки полезных нагрузок Havex и Karagany.[10] Комплект эксплойтов Hello - это обновленная версия комплекта эксплойтов LightsOut, который начал использоваться в 2013 году.[10] Обновленный набор эксплойтов Hello использует след для определения версий целевой ОС, шрифтов, надстроек браузера и другой информации о пользователе. После сбора этой информации набор эксплойтов перенаправляет жертву на вредоносную URL на основе наиболее эффективных эксплойтов для получения доступа к цели.[10]

Рекомендации

  1. ^ а б c d е "Хавекс". NJCCIC. Получено 2018-04-18.
  2. ^ а б c d е «Вредоносное ПО, ориентированное на ICS | ICS-CERT». ics-cert.us-cert.gov. Получено 2018-04-18.
  3. ^ «Злоумышленники развертывают новую платформу ICS Attack Framework« TRITON »и вызывают сбои в работе критически важной инфраструктуры | FireEye». Получено 2018-05-14.
  4. ^ а б «Вредоносное ПО, ориентированное на ICS (обновление A) | ICS-CERT». ics-cert.us-cert.gov. Получено 2018-04-18.
  5. ^ а б «Кампания кибершпионажа на основе Havex RAT поразила системы ICS / SCADA». Вопросы безопасности. 2014-06-25. Получено 2018-04-18.
  6. ^ а б c d е Нельсон, Нелл (18 января 2016 г.). «Влияние вредоносного ПО Dragonfly на промышленные системы управления». Институт SANS.
  7. ^ «КРАШОВЕРРИД: Анализ угроз для работы электрических сетей» (PDF).
  8. ^ «Полное раскрытие троянов Havex - Блог NETRESEC». Netresec. Получено 2018-04-15.
  9. ^ «КРАШОВЕРРИД: Анализ угроз для работы электрических сетей» (PDF).
  10. ^ а б c d е «Стрекоза: атаки кибершпионажа на поставщиков энергии» (PDF). 7 июля 2014 г.
  11. ^ "Злоумышленники, использующие Havex RAT против промышленных систем управления | SecurityWeek.Com". www.securityweek.com. Получено 2018-04-18.