您所在的位置: 首頁 >
安全研究 >
安全通告 >
Kapeka和Fuxnet:摧毀工業(yè)系統(tǒng)的ICS惡
Kapeka和Fuxnet:摧毀工業(yè)系統(tǒng)的ICS惡意軟件
針對歐洲工業(yè)控制系統(tǒng)(ICS)和操作技術(OT)環(huán)境的危險惡意軟件最近先后被發(fā)現(xiàn),“Kapeka”和“Fuxnext”是兩國之間長期沖突中出現(xiàn)的最新惡意軟件例證。名為“Kapeka”的工具似乎與Sandworm有關,Sandworm是一個多產(chǎn)的俄羅斯國家支持的威脅組織,谷歌的Mandiant安全小組本周將其描述為該國在烏克蘭的主要網(wǎng)絡攻擊單位。芬蘭WithSecure的安全研究人員發(fā)現(xiàn)了2023年針對愛沙尼亞物流公司和東歐其他目標的攻擊中的后門,并將其視為一種活躍且持續(xù)的威脅。另一種惡意軟件——被形象地稱為“Fuxnet”,是烏克蘭政府支持的威脅組織Blackjack可能在最近對Moskollector(俄羅斯一家維護著用于監(jiān)控莫斯科污水系統(tǒng)的大型傳感器網(wǎng)絡的公司)進行的破壞性攻擊中使用的工具。攻擊者使用Fuxne 成功破壞了Moskollector網(wǎng)絡上他們聲稱的總共 1,700個(claroty的分析稱是500多個)傳感器網(wǎng)關。
破壞性ICS惡意軟件
名為“Kapeka”的工具似乎與Sandworm有關,Sandworm是一個多產(chǎn)的俄羅斯國家支持的威脅組織,谷歌的Mandiant安全小組本周將其描述為該國在烏克蘭的主要網(wǎng)絡攻擊單位。芬蘭WithSecure的安全研究人員發(fā)現(xiàn)了2023年針對愛沙尼亞物流公司和東歐其他目標的攻擊中的后門,并將其視為一種活躍且持續(xù)的威脅。芬蘭網(wǎng)絡安全公司W(wǎng)ithSecure將惡意軟件歸因于與俄羅斯有關的高級持續(xù)威脅(APT)組織,追蹤為Sandworm(又名APT44或Seashell Blizzard)。微軟正在追蹤名為KnuckleTouch的相同惡意軟件。安全研究員Mohammad Kazem Hassan Nejad表示:“該惡意軟件是一個靈活的后門,具有所有必要的功能,可以作為其運營者的早期工具包,并提供對受害者財產(chǎn)的長期訪問?!盞apeka配備了一個植入程序,旨在在受感染的主機上啟動并執(zhí)行后門組件,然后自行刪除。Dropper還負責將后門持久化設置為計劃任務或自動運行注冊表,具體取決于進程是否具有SYSTEM權限。
Kapeka概覽
另一種惡意軟件——被形象地稱為“Fuxnet” ——是烏克蘭政府支持的威脅組織 Blackjack 可能在最近對 Moskollector 進行的破壞性攻擊中使用的工具。Moskollector 是一家維護著用于監(jiān)控莫斯科污水系統(tǒng)的大型傳感器網(wǎng)絡的公司。攻擊者使用 Fuxnet 成功破壞了 Moskollector 網(wǎng)絡上他們聲稱的總共 1,700 個傳感器網(wǎng)關,并在此過程中禁用了連接到這些網(wǎng)關的約 87,000 個傳感器。
ICS安全公司Claroty的漏洞研究總監(jiān)Sharon Brizinov表示:“Fuxnet ICS惡意軟件的主要功能是破壞和阻止對傳感器網(wǎng)關的訪問,并試圖破壞物理傳感器?!痹摴咀罱{查了Blackjack的攻擊。Brizinov表示,此次攻擊的結果是,Moskollector可能必須親自接觸數(shù)千臺受影響的設備,并逐一更換它們?!盀榱嘶謴? [Moskollector]監(jiān)控和操作莫斯科周圍污水系統(tǒng)的能力,他們需要采購并重置整個系統(tǒng)?!?/span>
Kapeka和Fuxnet是俄羅斯和烏克蘭沖突造成的更廣泛網(wǎng)絡影響的例子。自2022年2月兩國之間的戰(zhàn)爭爆發(fā)以來,甚至早在這之前,雙方的黑客組織就開發(fā)并使用了一系列惡意軟件工具來攻擊對方。許多工具,包括擦除器和勒索軟件,本質上都具有破壞性或損毀性,主要針對兩國的關鍵基礎設施、ICS和OT環(huán)境。
但在某些情況下,涉及兩國之間長期沖突引發(fā)的工具的攻擊影響了更廣泛的受害者。最值得注意的例子仍然是 NotPetya,這是Sandworm組織最初開發(fā)用于烏克蘭的惡意軟件工具,但最終在2017年影響了全球數(shù)以萬計的系統(tǒng)。2023年,英國國家網(wǎng)絡安全中心(NCSC)和美國美國國家安全局(NSA)警告稱,名為“Inknown Chisel”的 Sandworm惡意軟件工具集對各地Android用戶構成威脅。
Kapeka:GreyEnergy的沙蟲替代品?
據(jù)WithSecure稱,Kapeka是一種新穎的后門,攻擊者可以將其用作早期工具包,并在受害者系統(tǒng)上實現(xiàn)長期持久性。該惡意軟件包含一個釋放器組件,用于將后門釋放到目標計算機上,然后自行刪除。WithSecure的研究員Mohammad Kazem Hassan Nejad表示:“Kapeka支持所有基本功能,使其能夠作為受害者財產(chǎn)中的靈活后門運行?!逼涔δ馨◤拇疟P讀取文件和向磁盤寫入文件、執(zhí)行shell命令以及啟動惡意負載和進程(包括本地二進制文件)?!矮@得初始訪問權限后,Kapeka的操作員可以利用后門在受害者的計算機上執(zhí)行各種任務,例如發(fā)現(xiàn)、部署其他惡意軟件以及發(fā)起下一階段的攻擊,”Nejad說。
據(jù)Nejad稱,WithSecure能夠找到證據(jù),表明與Sandworm和該組織在2018年攻擊烏克蘭電網(wǎng)時使用的GreyEnergy惡意軟件有關?!拔覀兿嘈臟apeka可能是Sandworm武器庫中GreyEnergy的替代品,”Nejad指出。盡管這兩個惡意軟件樣本并非源自相同的源代碼,但Kapeka和GreyEnergy之間存在一些概念重疊,就像 GreyEnergy及其前身BlackEnergy之間存在一些重疊一樣。Nejad表示:“這表明Sandworm可能會隨著時間的推移使用新工具升級其武器庫,以適應不斷變化的威脅形勢?!?/span>
Kapeka和GreyEnergy、Prestige之間的重疊WithSecure公司的報告對Kapeka后門及其功能進行了深入的技術分析,并分析了Kapeka與Sandworm組織之間的聯(lián)系。其目的是提高企業(yè)、政府和更廣泛的安全社區(qū)的認識。WithSecure已向政府和精選客戶提供了報告的高級副本。除了報告之外,他們還發(fā)布了根據(jù)其研究結果開發(fā)的幾個工件,包括基于注冊表和硬編碼的配置提取器、用于解密和模擬后門網(wǎng)絡通信的腳本,以及如預期的指標列表妥協(xié)、YARA規(guī)則和MITRE ATT&CK映射。
Fuxnet:傳感器定向攻擊工具
與此同時,Clarity的Brizinov將Fuxnet識別為ICS惡意軟件,旨在對特定的俄羅斯制造傳感器設備造成損害。該惡意軟件旨在部署在網(wǎng)關上,用于監(jiān)控和收集物理傳感器的數(shù)據(jù),用于火災警報、氣體監(jiān)控、照明和類似用例。
Brizinov表示:“惡意軟件一旦部署,就會通過覆蓋NAND芯片并禁用外部遠程訪問功能來堵塞網(wǎng)關,從而阻止操作員遠程控制設備?!?nbsp;
傳感器攻擊來了!烏克蘭使用破壞性ICS惡意軟件“Fuxnet”攻擊俄羅斯基礎設施
Claroty.com的分析證實,Blackjack攻擊者利用這個惡意軟件,刪除了文件系統(tǒng)、目錄、禁用了遠程訪問服務、每個設備的路由服務,并重寫了閃存、破壞了NAND存儲芯片、UBI卷以及其他進一步擾亂這些網(wǎng)關運行的行為。最后造成500多個傳感器網(wǎng)關的損壞。
然后,一個單獨的模塊嘗試用無用的M-Bus流量淹沒物理傳感器本身。M-Bus是一種歐洲通信協(xié)議,用于遠程讀取燃氣表、水表、電表和其他儀表。Brizinov表示:“Blackjack組織的ICS惡意軟件Fuxnet的主要目的之一是在獲得傳感器網(wǎng)關的訪問權限后攻擊并摧毀物理傳感器本身?!睘榇耍珺lackjack選擇通過向傳感器發(fā)送無限數(shù)量的M-Bus數(shù)據(jù)包來模糊傳感器?!皬谋举|上講,BlackJack希望通過無休止地向傳感器發(fā)送隨機 M-Bus數(shù)據(jù)包,這些數(shù)據(jù)包將使傳感器不堪重負,并可能觸發(fā)漏洞,從而損壞傳感器并將其置于無法操作的狀態(tài),”他說。
組織從此類攻擊中得到的主要收獲是要注意安全基礎知識。例如,Blackjack似乎通過濫用設備上的弱憑據(jù)獲得了對目標傳感器網(wǎng)關的root訪問權限。他說,這次攻擊凸顯了為什么“維護良好的口令策略非常重要,確保設備不會共享相同的憑據(jù)或使用默認憑據(jù)”?!安渴鹆己玫木W(wǎng)絡清理和分段也很重要,確保攻擊者無法在網(wǎng)絡內部橫向移動,并將其惡意軟件部署到所有邊緣設備?!?/span>
參考資源
1、https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
2、https://thehackernews.com/2024/04/russian-apt-deploys-new-kapeka-backdoor.html
3、https://www.withsecure.com/en/whats-new/pressroom/withsecure-uncovers-kapeka-a-new-malware-with-links-to-russian-nation-state-threat-group-sandworm
4、https://claroty.com/team82/research/unpacking-the-blackjack-groups-fuxnet-malware
來源:網(wǎng)空閑話plus