Các tác nhân đe dọa đã phát triển các mô-đun (module) tùy chỉnh để xâm phạm thiết bị ICS khác nhau như các máy trạm dùng Windows hình thành những mối đe dọa, đặc biệt là đối với các nhà cung cấp năng lượng.
Các cơ quan liên bang đã cảnh báo rằng các mối đe dọa mạng đã xây dựng và sẵn sàng triển khai các công cụ có thể tiếp quản một số thiết bị hệ thống điều khiển công nghiệp (ICS) đang được sử dụng rộng rãi. Điều này gây rắc rối cho các nhà cung cấp cơ sở hạ tầng quan trọng – đặc biệt là những người trong lĩnh vực năng lượng.
Trong một cố vấn chung, Bộ Năng lượng (DoE), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Cơ quan An ninh Quốc gia (NSA) và FBI cảnh báo rằng “một số phương thức tấn công mạng (APT)” đã thể hiện khả năng “có được toàn quyền truy cập hệ thống vào nhiều thiết bị hệ thống điều khiển công nghiệp (ICS)/điều khiển giám sát và thu thập dữ liệu (SCADA),” theo như cảnh báo.
Theo các cơ quan, các công cụ tùy chỉnh do APTs phát triển cho phép họ – sau khi có quyền truy cập vào mạng công nghệ hoạt động (OT) để quét, xâm nhập và kiểm soát các thiết bị bị ảnh hưởng. Họ nói rằng điều này có thể dẫn đến một số hành động phi pháp, bao gồm nâng cao đặc quyền, di chuyển bên trong môi trường OT và làm gián đoạn các thiết bị hoặc chức năng quan trọng.
Các thiết bị có nguy cơ là: Bộ điều khiển logic lập trình Schneider Electric MODICON và MODICON Nano (PLC), bao gồm (nhưng có thể không giới hạn ở) TM251, TM241, M258, M238, LMC058 và LMC078; PLC OMRON Sysmac NEX; và các máy chủ Kiến trúc Hợp nhất Truyền thông Nền tảng Mở (OPC UA).
Ngoài ra họ cho biết APT cũng có thể xâm phạm các máy trạm kỹ thuật dựa trên Windows hiện diện trong môi trường CNTT hoặc OT bằng cách sử dụng cách khai thác lỗ hổng đã biết trong trình điều khiển bo mạch chủ ASRock.
Cảnh báo nên được chú ý
Mặc dù các cơ quan liên bang thường đưa ra lời khuyên về các mối đe dọa mạng, một chuyên gia bảo mật đã khuyến cáo các nhà cung cấp cơ sở hạ tầng quan trọng không nên coi nhẹ cảnh báo cụ thể này.
Tim Erlin, phó chủ tịch chiến lược tại Tripwire, nhận xét trong một email gửi tới Threatpost: “Đừng nhầm lẫn, đây là một cảnh báo quan trọng từ CISA, các tổ chức công nghiệp nên chú ý đến mối đe dọa này.”
Ông lưu ý rằng mặc dù bản thân cảnh báo đang tập trung vào các công cụ để đạt được quyền truy cập vào các thiết bị ICS cụ thể, bức tranh lớn hơn là toàn bộ môi trường kiểm soát công nghiệp đang gặp rủi ro một khi tác nhân đe dọa có được chỗ đứng.
Erlin khuyên: “Những kẻ tấn công cần một điểm thỏa hiệp ban đầu để có quyền truy cập vào các hệ thống kiểm soát công nghiệp có liên quan và các tổ chức nên xây dựng hệ thống phòng thủ của họ cho phù hợp.”
Bộ công cụ mô-đun
Họ cho biết các cơ quan đã cung cấp bảng phân tích các công cụ mô-đun do APTs phát triển cho phép họ thực hiện “các hoạt động khai thác tự động hóa cao chống lại các thiết bị được nhắm mục tiêu”.
Họ mô tả các công cụ này có một bảng điều khiển ảo với giao diện lệnh phản chiếu giao diện của thiết bị ICS / SCADA được nhắm mục tiêu. Các mô-đun tương tác với các thiết bị được nhắm mục tiêu, cung cấp cho các tác nhân đe dọa có kỹ năng thấp hơn khả năng mô phỏng các khả năng có kỹ năng cao hơn, các cơ quan cảnh báo.
Các hành động mà APT có thể thực hiện bằng cách sử dụng các mô-đun bao gồm: quét tìm thiết bị được nhắm mục tiêu, tiến hành trinh sát chi tiết thiết bị, tải cấu hình / mã độc hại lên thiết bị được nhắm mục tiêu, sao lưu hoặc khôi phục nội dung thiết bị và sửa đổi các thông số của thiết bị.
Ngoài ra, các tác nhân APT có thể sử dụng một công cụ cài đặt và khai thác lỗ hổng trong trình điều khiển bo mạch chủ ASRock AsrDrv103.sys được theo dõi là CVE-2020-15368. Lỗ hổng này cho phép thực thi mã độc trong nhân Windows, tạo điều kiện thuận lợi cho việc di chuyển ngang trong môi trường CNTT hoặc OT cũng như làm gián đoạn các thiết bị hoặc chức năng quan trọng.
Nhắm mục tiêu các thiết bị cụ thể
Các tác nhân cũng có một mô-đun cụ thể để tấn công các thiết bị ICS khác. Mô-đun cho Schneider Electric tương tác với các thiết bị thông qua các giao thức quản lý thông thường và Modbus (TCP 502).
Mô-đun này có thể cho phép các tác nhân thực hiện các hành động độc hại khác nhau, bao gồm chạy quét nhanh để xác định tất cả các PLC Schneider trên mạng cục bộ; brute-ép mật khẩu PLC; xử lý tấn công từ chối dịch vụ (DoS) để chặn PLC nhận truyền thông mạng; hoặc tiến hành một cuộc tấn công “gói tin tử thần” để làm hỏng PLC, trong số những người khác, theo lời khuyên.
Các mô-đun khác trong công cụ APT nhắm mục tiêu các thiết bị OMRON và có thể quét tìm chúng trên mạng cũng như thực hiện các chức năng xâm phạm khác, các cơ quan cho biết.
Ngoài ra, các mô-đun OMRON có thể tải lên một tác nhân cho phép tác nhân đe dọa kết nối và bắt đầu các lệnh — chẳng hạn như thao tác tệp, chụp gói và thực thi mã — thông qua HTTP và / hoặc Bảo mật giao thức truyền siêu văn bản (HTTPS), theo cảnh báo.
Cuối cùng, một mô-đun cho phép xâm phạm thiết bị OPC UA bao gồm chức năng cơ bản để xác định máy chủ OPC UA và kết nối với máy chủ OPC UA bằng thông tin đăng nhập mặc định hoặc đã bị xâm phạm trước đó, các cơ quan cảnh báo.
Khuyến nghị giảm nhẹ rủi ro
Các cơ quan đã cung cấp một danh sách đầy đủ các biện pháp giảm thiểu cho các nhà cung cấp cơ sở hạ tầng quan trọng để tránh sự xâm phạm hệ thống của họ bởi các công cụ APT.
Erwin của Tripwire lưu ý: “Việc này không đơn giản như áp dụng một bản vá. Trong danh sách, ông trích dẫn việc cô lập các hệ thống bị ảnh hưởng; sử dụng phát hiện điểm cuối, cấu hình và giám sát tính toàn vẹn; và phân tích nhật ký như các hành động chính mà tổ chức nên thực hiện ngay lập tức để bảo vệ hệ thống của họ.
Feds cũng khuyến nghị rằng các nhà cung cấp cơ sở hạ tầng quan trọng có một kế hoạch ứng phó sự cố mạng mà tất cả các bên liên quan trong CNTT, an ninh mạng và hoạt động đều biết và có thể thực hiện nhanh chóng nếu cần, cũng như duy trì các bản sao lưu ngoại tuyến hợp lệ để khôi phục nhanh hơn khi bị tấn công gián đoạn, trong số các biện pháp giảm thiểu khác.
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://threatpost.com/feds-apts-critical-infrastructure/179291/
