Az iparvállalatok számítógépes rendszerei egyre vonzóbb célpontjai a kiberbűnözésnek, mind a remélt anyagi haszon, mind az ipari kémkedés lehetőségei miatt is. A fenyegetések között nemrégiben megjelent egy új rosszindulatú szoftver, aminek fő célpontjai az ipari vezérlőrendszerek(ICS).

Kibertámadás

Az új malware-t a Kaspersky szakemberei fedezték fel, a rosszindulatú program tavaly január és november között több mint 35 ezer számítógépet fertőzött meg a világ 195 országában. Mivel az az úgynevezett „fejlett állandó fenyegetéseket” (APT) alkalmazó Lazarus csoport Manuscrypt malware-jéhez hasonlít leginkább ezért a kiberbiztonsági szakértők a „PseudoManuscrypt” nevet adták neki.

Az új malware célpontjai között sok iparvállalat és kormányzati szervezet is volt, főként hadiipari vállalatok és kutatólaboratóriumok. A megtámadott számítógépek 7,2%-a ipari vezérlőrendszerek része volt, a leginkább érintett iparágak közé pedig a gyártóipar és az épületautomatizálás került.

A PseudoManuscrypt által megtámadott rendszerek száma, napi bontásban

Megtámadott rendszerek száma
Forrás: Kaspersky

Hogyan támad az új program?

A PseudoManuscrypt először hamis szoftvertelepítő archívumokon keresztül töltődik le a célpontok rendszereire, közöttük vannak ICS-specifkus kalózszoftver-telepítők is. Valószínű, hogy ezek a hamis telepítők egy malware-mint-szolgáltatás (MaaS) platformról származnak.

Olyan esetek is előfordultak, amikor a PseudoManuscrypt a hírhedt Glupteba botneten keresztül lett telepítve. A kezdeti fertőzés után beindul egy komplikált fertőzési lánc, amely végül letölti a fő kártékony modult.

A Kaspersky szakértői a modul két variánsát is azonosították. Mindkettő fejlett kémkedési funkciókkal rendelkezik, többek között képesek naplózni a billentyűleütéseket, adatokat másolni a vágólapról, VPN – virtuális magánhálózat, továbbá potenciálisan RDP – távoli asztal protokoll hitelesítési adatokat és csatlakozási adatokat lopni, képernyőfotókat másolni.

A támadásokban nem fedezhető fel egy adott iparág iránti preferencia, ugyanakkor a megtámadott mérnöki számítógépek – többek között a 3D-s és a fizikai modellezéshez használt rendszerek és a digitális ikrek – nagy száma arra enged következtetni, hogy az egyik cél az ipari kémkedés lehet.

Furcsa módon néhány áldozat kapcsolatot mutat az ICS CERT által korábban már ismertetett Lazarus kampány áldozataival, és az adatokat egy olyan ritka protokollon keresztül küldik a támadók szerverére, amelyet csak az APT41 malware-jénél használtak korábban – emeli ki közleményében a Kaspersky. Mindezek ellenére az áldozatok nagy számára és a konkrét fókuszpont hiányára tekintettel a biztonsági cég nem kapcsolja a kampányt sem a Lazarushoz, sem bármely más ismert APT-csoporthoz.

„Ez egy nagyon szokatlan kampány, és még mindig csak a rendelkezésünkre álló különféle információk összerakosgatásánál tartunk. Egy dolog azonban világos: ez egy olyan fenyegetés, amelyre a szakembereknek oda kell figyelniük, hiszen több ezer ICS-számítógéphez talált már utat a rosszindulatú program köztük sok neves vállalatnál is” – jelentette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

A védelmi offenzíva lépései

A cég szakértői szerint a potenciális célpontok így védekezhetnek a PseudoManuscrypt ellen:

• telepítsenek végpontvédelmi szoftvert minden szerverre és munkaállomásra

• ellenőrizzék, hogy minden végpontvédelmi komponens be van-e kapcsolva minden rendszeren, és hogy van-e olyan szabályzat, amely megköveteli a rendszergazdai jelszó megadását, ha valaki megpróbálná letiltani a szoftvert

• ellenőrizzék, hogy az Active Directory szabályzatok tartalmaznak-e korlátozásokat a felhasználók rendszerekbe való bejelentkezési kísérleteire vonatkozóan. A felhasználók számára csak azokba a rendszerekbe legyen engedélyezve a bejelentkezés, amelyek a munkaköri feladataik ellátásához szükségesek

• korlátozzák a hálózati kapcsolatokat, többek között a VPN-t a gyártásautomatizálási (OT) hálózat rendszerei között, és blokkolják a kapcsolatokat minden olyan porton, amelyek nem kellenek a gyártás folytonosságához vagy biztonságosságához

• VPN kapcsolat létrehozatalakor második hitelesítési tényezőként használjanak okoskártyákat (tokeneket) vagy egyszer használatos kódokat. Ha lehet, alkalmazzák inkább a hozzáférés-ellenőrző lista (ACL) technológiát azon IP-címek listájának korlátozásához, amelyekről VPN kapcsolat kezdeményezhető

• képezzék a vállalat dolgozóit az internet, az e-mail és más kommunikációs csatornák biztonságos használatára, és kiemelten figyeljenek oda annak ismertetésére, hogy milyen következményekkel járhat a fájlok nem ellenőrzött forrásokból való letöltése és futtatása

• a helyi rendszergazdai és tartomány-rendszergazdai jogosultsággal rendelkező fiókokat csak akkor használják, amikor az a munkaköri feladatok ellátásához szükséges

• fontolják meg a felügyelt észlelési és elhárítási szolgáltatások használatát, amivel gyorsan be tudnak avatkozni a megfelelő tudással rendelkező szakemberek

• használjanak kifejezetten a gyártórendszerekhez fejlesztett védelmi megoldásokat