Ransomware, njuškanje i pokušaji gašenja: pogledajte što su hakeri učinili tim sustavima koji su ostali nezaštićeni na mreži

  • Sep 04, 2023

Istraživači su postavili honeypot kako bi pratili što cyber kriminalci rade kada ciljaju na industrijska okruženja - i otkrili su da hakeri napadaju tvornice u velikom broju.

Na meti su zlonamjerni hakeri tvornicama i industrijskim okruženjima s širokim spektrom zlonamjernog softvera i kibernetičkih napada uključujući ransomware, rudare kriptovaluta – au nekim slučajevima aktivno žele isključiti ili poremetiti sustave.

Sigurnost

  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće

Sve ove incidente uočili su istraživači tvrtke za kibernetičku sigurnost Trend Micro koji su izgradio honeypot koji je oponašao okoliš prave tvornice. Lažna tvornica sadržavala je neke uobičajene kibersigurnosne ranjivosti kako bi hakerima bila privlačna za otkrivanje i ciljanje.

Kako bi honeypot bio što uvjerljiviji, istraživači su povezali stolna računala, mreže i poslužitelje s lažnom tvrtkom koju su nazvali MeTech i izradio web stranicu s pojedinostima o tome kako proizvođač služi klijentima u sektorima visoke tehnologije, uključujući obranu i zrakoplovstvo – popularne mete za hakiranje.

VIDJETI: Pobjednička strategija za kibernetičku sigurnost (ZDNet posebno izvješće) | Preuzmite izvješće kao PDF (TechRepublic)

Web stranica je čak sadržavala slike i biografije ljudi koji su navodno radili za lažnu marku, sa snimke glave koje je generirala umjetna inteligencija u nastojanju da Honeypot izgleda što je više moguće kao legitimna tvrtka.

Trend Micro lansirao je honeypot u svibnju prošle godine, namjerno ga postavljajući sa slabostima poput Virtual Network Computing (VNC) bez kontrolnog pristupa, nezaštićen priključci za udaljenu radnu površinu okrenuti prema van, i koristeći istu lozinku za radne stanice diljem mreže.

Kako bi dodatno privukli potencijalne hakere prema otkrivenim online sustavima, istraživači su 'procurili' informacije o ranjivostima u sustavima. I nije prošlo dugo prije nego što je cyber kriminalce privukao MeTech honeypot i pokušali su se infiltrirati u njega.

Nekoliko tjedana nakon što je honeypot pušten u rad, napadač je pronašao put do mreže i instalirao ga malware za rudarenje kriptovaluta u nastojanju da iskoriste resurse lažne tvornice za generiranje Bitcoina. Istraživači primjećuju da se ovaj napadač opetovano vraćao u sustav kako bi ponovno pokrenuo rudar tijekom trajanja honeypot-a.

Kako je sve više kibernetičkih kriminalaca i hakera otkrivalo honeypot – pod dojmom da je to potpuno operativno industrijsko okruženje – istraživači su vidjeli da napadi koji se primjenjuju napreduju.

Brojni napadači izvršili su izviđanje mreže, vjerojatno u nastojanju da vide nad čime se može preuzeti kontrola ili da otkriju osjetljive podatke za krađu. Neki od tih napadača čak su otišli toliko daleko da su unijeli naredbe za isključivanje sustava, nešto što je moglo imati veliki utjecaj u stvarnom okruženju pametnih tvornica. Napadi isključivanja ponavljali su se tijekom trajanja meda.

Do rujna je honeypot privlačio veliko zanimanje zlonamjernih hakera, a MeTech je bio na meti ransomware napad što je omogućilo istraživačima da prate kako se takav incident odvija.

Ovo je počelo s napadačem koji je istraživao sustave i provodio izviđanje diljem mreže u nastojanju da otkrije s čime imaju posla. Zatim je, koristeći funkcije udaljene radne površine i pristup TeamVieweru, ovaj napadač implementirao varijantu Crysis ransomware na mrežu, tražeći 10.000 dolara u Bitcoinu za dešifriranje mreže.

Pod krinkom zaposlenika MeTecha, istraživači su zapravo išli naprijed-natrag putem e-pošte s napadačem – koji je na kraju spustio zahtjev na 6000 dolara. Međutim, otkupnina nije plaćena, jer nakon što su završili komunikaciju s napadačem, istraživači su resetirali sustav, vraćajući ga u prvobitno stanje.

VIDJETI: Senzorirano poduzeće: IoT, ML i veliki podaci (ZDNet posebno izvješće) | Preuzmite izvješće kao PDF (TechRepublic)

Ali ovo nije bila jedina kampanja ransomwarea koju je honeypot privukao; u listopadu su hakeri još jednom pronjuškali mrežom prije nego što su je pokrenuli Phobos ransomware, koji je uklonjen kada su sustavi resetirani.

Samo nekoliko tjedana nakon toga, honeypot je također privukao mnogo manje sofisticirani napad ransomwarea od strane haker za kojeg istraživači u Trend Microu kažu da je "petljao po našem sustavu pokušavajući dobiti naredbu PowerShell za raditi".

Ovaj je napadač na kraju izveo lažni ransomware napad gdje su samo promijenili nazive datoteka i tražio je nekoliko stotina dolara za 'dešifriranje' izmijenjenih datoteka putem bilješke ostavljene na izmijenjenoj radnoj površini pozadina. Ovaj je napadač naizgled odustao nekoliko dana kasnije, otvorivši razne web stranice za odrasle u pregledniku prije nego što je napustio sustav.

Drugi hakeri pokazali su više sofisticiranosti od ovoga, uzimajući vrijeme za skeniranje sustava dizajniranih da izgledaju kao da kontroliraju industrijske upravljačke sustave, u jednom slučaju čak i dobivanje pristupa radnoj stanici povezanoj s nečim što je izgledalo kao MeTechov robotski sustava. U stvarnom okruženju, ova razina pristupa potencijalno može dovesti do fizičkog prekida tvorničkog okruženja.

Honeypot je zatvoren u prosincu nakon što je istraživačima pružio uvid u to kako cyber kriminalci rade u industrijskim i tvorničkim okruženjima s uobičajenim sigurnosnim propustima. A u ovom slučaju, obični kibernetički kriminalci, a ne hakerske skupine koje podupire nacionalna država, petljali su u sustave.

VIDJETI: Izvješće: Kineska hakerska skupina APT40 skriva se iza mreže lažnih tvrtki

"Prečesto je rasprava o kibernetičkim prijetnjama industrijskim kontrolnim sustavima (ICS) bila ograničena na visoko sofisticirane napade na razini države osmišljene da sabotiraju ključne procese. Iako one predstavljaju rizik za industriju 4.0, naše istraživanje dokazuje da su uobičajene prijetnje vjerojatnije," rekao je Greg Young, potpredsjednik kibernetičke sigurnosti za Trend Micro.

“Vlasnici manjih tvornica i industrijskih pogona stoga ne bi trebali pretpostaviti da će ih kriminalci ostaviti na miru. Nedostatak osnovne zaštite može otvoriti vrata relativno jednostavnom napadu ransomwarea ili kriptojackinga koji bi mogao imati ozbiljne posljedice za konačni rezultat", dodao je.

Kako bi se zaštitili od cyber kriminalaca i hakera, istraživači preporučuju da industrijska okruženja imaju minimalan broj otvorenih portovi okrenuti prema internetu što je više moguće te da politike kontrole pristupa trebaju biti pooštrene jedinstvenim i jakim lozinkama za svaki sustav. Dvofaktorska autentifikacija također može spriječiti napadače da dobiju pristup okruženjima.

Sigurnosni stručnjaci također preporučuju da su sustavi redovito ažurirati relevantnim sigurnosnim zakrpama kako bi se osiguralo da cyber kriminalci ne mogu iskoristiti poznate ranjivosti za pristup mrežama.

VIŠE KIBERSIGURNOSTI

  • Ove hakerske skupine promatraju električne mreže, kaže zaštitarska tvrtka
  • Vaš pametni klima uređaj mogao bi pomoći u smanjenju električne mreže CNET
  • IIoT sigurnost: Zašto je važna, zašto mora biti mnogo bolja
  • Industrijska IoT tvrtka dobiva 8 milijuna dolara i glas povjerenja od Qualcomma TechRepublic
  • Kako Panasonic koristi internetske honeypots za poboljšanje sigurnosti IoT uređaja