Világméretű kémprogramos támadásáradat az ipari vezérlőrendszerek ellen

Új malware-t, rosszindulatú, kártevő szoftvert fedeztek fel a Kaspersky szakemberei, amely tavaly január 20–november 10. között 195 országban több mint 35 000 számítógépet vett célba. A fejlett állandó fenyegetéseket (APT) alkalmazó Lazarus-csoport Manuscrypt malware-jével mutatott hasonlóság miatt „PseudoManuscrypt” névre keresztelt új malware-t fejlett kémkedési funkciókra programozták, célpontjai pedig kormányzati szervezetek, ipari vezérlőrendszerek. 

Az ipari szervezetek a kiberbűnözők legkívánatosabb célpontjai közé tartoznak, mind az anyagi haszon, mind az információgyűjtés szempontjából. Tavaly látványosan megnőtt a jól ismert APT-csoportok, mint például a Lazarus és az APT41 „érdeklődése” ipari szervezetek iránt. A Kaspersky szakértői egy másik támadási lánc vizsgálata közben új malware-re bukkantak, amely hasonlóságot mutatott a Lazarus-csoportnak a védelmi iparág ellen irányuló ThreatNeedle kampányában használt „Manuscrypt” malware-rel, ezért aztán a PseudoManuscrypt nevet adták neki.

Tavaly január 20–november 10. között a Kaspersky termékei 195 országban több mint 35 000 számítógépen blokkolták a PseudoManuscryptet. A célpontok között sok ipari és kormányzati szervezet volt, a többi között hadiipari vállalatok és kutatólaboratóriumok. A megtámadott számítógépek 7,2%-a ipari vezérlőrendszerek része, a leginkább érintett iparágakat pedig a mérnöki ipar és az épületautomatizálás képviselte.

A rendszerek száma, amelyeken a PseudoManuscryptet észlelték, napi bontásban

A PseudoManuscrypt először hamis szoftvertelepítő archívumokon keresztül (melyek között kalózszoftver-telepítők is!) töltődik le a célpontok rendszereire. Valószínű, hogy ezek a hamis telepítők egy „malware-mint”-szolgáltatás (MaaS) felületről származnak. Különös módon olyan esetek is előfordultak, amikor a PseudoManuscrypt a hírhedt Glupteba botneten keresztül lett telepítve. A kezdeti fertőzés után beindul egy komplikált fertőzési lánc, amely végül letölti a fő kártékony modult. A Kaspersky szakértői a modul két variánsát azonosították. Mindkettőt fejlett kémkedési funkciókkal szerelték föl, miáltal képesek naplózni a billentyűleütéseket, adatokat másolni a vágólapról, VPN (és potenciálisan RDP) hitelesítési adatokat és csatlakozási adatokat lopni, képernyőfotókat másolni stb.

A támadásokban nem fedezhető fel egy adott iparág iránti preferencia, ugyanakkor a megtámadott mérnöki számítógépek – a többi között a 3D-s és a fizikai modellezéshez használt rendszerek és a digitális ikrek – nagy száma arra enged következtetni, hogy az egyik cél az ipari kémkedés lehet.

Néhány áldozat kapcsolatot mutat az ICS CERT által korábban már ismertetett Lazarus kampány áldozataival, és az adatokat egy olyan ritka protokollon keresztül küldik a támadók szerverére, amelyet csak az APT41 malware-jénél használtak eddig. Mindezek ellenére az áldozatok nagy számára és a konkrét fókuszpont hiányára tekintettel a Kaspersky nem kapcsolja a kampányt sem a Lazarushoz, sem bármely más ismert APT-csoporthoz.

A Kaspersky szakértői szerint a szervezetek így védekezhetnek a PseudoManuscrypt ellen:

  • Telepítsenek végpontvédelmi szoftvert minden szerverre és munkaállomásra.
  • Ellenőrizzék, hogy minden végpontvédelmi komponens be van-e kapcsolva minden rendszeren, és hogy van-e olyan szabályzat, amely megköveteli a rendszergazdai jelszó megadását, ha valaki megpróbálja letiltani a szoftvert.
  • Ellenőrizzék, hogy az Active Directory szabályzatok tartalmaznak-e korlátozásokat a felhasználók rendszerekbe való bejelentkezési kísérleteire vonatkozóan. A felhasználók számára csak azokba a rendszerekbe legyen engedélyezve a bejelentkezés, amelyek a munkaköri feladataik ellátásához szükségesek.
  • Korlátozzák a hálózati kapcsolatokat, a többi között a VPN-t a gyártásautomatizálási (OT) hálózat rendszerei között, és blokolják a kapcsolatokat minden olyan porton, amelyek nem szükségesek a gyártási tevékenységek folytonosságához vagy biztonságosságához.
  • VPN kapcsolat létrehozásakor második hitelesítési tényezőként használjanak okoskártyákat (tokeneket) vagy egyszer használatos kódokat. Amennyiben lehetséges, alkalmazzák a hozzáférés-ellenőrző lista (ACL) technológiát azon IP-címek listájának korlátozásához, amelyekről VPN kapcsolat kezdeményezhető.
  • Részesítsék képzésben a vállalat dolgozóit az internet, az e-mail és más kommunikációs csatornák biztonságos használatának témájában, és kiemelten figyeljenek oda annak ismertetésére, hogy milyen következményekkel járhat a fájlok nem ellenőrzött forrásokból való letöltése és futtatása.
  • A helyi rendszergazdai és tartomány-rendszergazdai jogosultsággal rendelkező fiókokat csak akkor használják, amikor az a munkaköri feladatok ellátásához szükséges.
  • Vegyék fontolóra a felügyelt észlelési és elhárítási szolgáltatások használatát, ezáltal ugyanis gyors hozzáférést kaphatnak a biztonsági szakemberek magas szintű tudásához és szakértelméhez.
  • Használjanak kifejezetten a gyártórendszerekhez fejlesztett védelmi megoldást. Hozzáértők szerint a Kaspersky Industrial CyberSecurity védelmet nyújt az ipari végpontok számára, és lehetővé teszi az OT-hálózat felügyeletét a kártékony tevékenység észlelése és blokkolása végett.