Все фреймворки для APT-атак на изолированные сети АСУ ТП используют USB

Все фреймворки для APT-атак на изолированные сети АСУ ТП используют USB

Эксперты ESET изучили 17 наборов вредоносных компонентов, которые APT-группы применяли для атак на физически изолированные системы SCADA и АСУ ТП. Как оказалось, все эти фреймворки заточены под Windows, а для вывода данных из закрытой сети используют USB-накопители.

Изоляция SCADA, АСУ ТП или ОТ-инфраструктуры от корпоративной среды и интернета — традиционная мера защиты объектов КИИ от киберугроз. Однако «воздушная прослойка» никогда не обеспечивала полной безопасности, хотя и усложняла взлом критически важных систем.

Связь с изолированной сетью обычно осуществляется с помощью физического устройства — USB-флешки или внешнего жесткого диска. Как оказалось, авторы шпионских атак на КИИ на протяжении15 лет использовали именно этот вектор для проникновения в интересующие их закрытые системы.

Проведенное в ESET исследование показало, что не менее 75% фреймворков для атак на изолированные сети полагаются на вредоносный файл LNK (вспомним Stuxnet) либо AutoRun, записанный на флешку. Зловред при этом может использоваться не только для компрометации целевой системы, но и для дальнейшего продвижения по закрытой сети.

Основным отличительным признаком инструментов атаки, изученных в ESET, является способ заражения USB-накопителя, поэтому эксперты условно разделили фреймворки на две группы — работающие в системе, обеспечивающей связь с изолированной сетью, и работающие офлайн. Первые после установки развертывают вредоносный компонент, который отслеживает подключение флешки и автоматом внедряет в нее код для взлома системы, отделенной «воздушным зазором».

 

Офлайн-фреймворки (Brutal Kangaroo, USBThief, ProjectSauron) предполагают использование заранее подготовленной флешки, способной обеспечить автору атаки бэкдор.

 

Большинство изученных инструментов обеспечивает атакующему одностороннюю связь с целевой системой — для вывода данных. Наиболее продвинутые фреймворки могут поддерживать и обратную связь (на рисунках показано желтыми стрелками).

Некоторые фреймворки, рассмотренные в ESET (полный список см. в полнотекстовом PDF-отчете):

По данным «Лаборатории Касперского», в настоящее время вредоносные USB-устройства — вторая по значимости киберугроза для АСУ ТП (после атак из интернета). Эксперты также отметили растущий интерес APT-групп к таким объектам: раньше они ежегодно фиксировали в этой сфере единичные целевые атаки, теперь счет идет на десятки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Xerox втихую закрыла уязвимость, превращающую принтер в бесполезный кирпич

Грозящая DoS уязвимость в принтерах Xerox была обнаружена полтора года назад. В ответ на уведомление вендор подтвердил наличие проблемы, однако о выпуске патча автор находки узнал лишь вчера — из бюллетеня от 27 января, опубликованного на сайте компании.

Уязвимость CVE-2022-23968, которую в Xerox оценили как критическую, позволяет вызвать постоянный отказ в обслуживании с помощью специально созданного TIFF-файла, отосланного в запросе HTTP POST. Эксплойт можно осуществить по сети или через интернет, особых разрешений для этого не требуется.

Проблему обнаружил исследователь из NeoSmart Technologies Махмуд аль-Кудси (Mahmoud Al-Qudsi). Как оказалось, веб-интерфейс Xerox поддерживает формат TIFF, однако при парсинге таких изображений принтер может выдать ошибку и прочно зависнуть.

В ходе эксперимента аль-Кудси удалось вызвать DoS при попытке вывода на печать многостраничного TIFF-документа с неполным каталогом изображений. Система сразу же вывела сообщение об ошибке и запросила холодную перезагрузку, однако перезапуск не помог — принтер попытался возобновить выполнение задания печати и столкнулся с той же проблемой.

Цикл оказался бесконечным, отключение принтера от сети положение не спасало; интерфейс очереди печати тоже отказал. По словам автора находки, очистить очередь печати в этом случае можно лишь запуском процесса обновления прошивки; проблему решит также очистка памяти устройства вручную, через физический доступ.

Уязвимости подвержены полтора десятка моделей семейства VersaLink и два принтера WorkCentre и Phaser с прошивками версий ниже xx.61.23 (вышла в июне 2020 года). Полный список затронутых продуктов приведен в бюллетене Xerox. В качестве временной меры защиты аль-Кудси советует запретить неавторизованный доступ к принтеру через настройки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru