Budapest24 Friss, aktuális programajánlók naprakészen! Koncert, mozi, előadások, fesztiválok! Ez is érdekelhet
Új malware-t fedeztek fel a Kaspersky szakemberei, amely a 2021. január 20. és november 10. közötti időszakban 195 országban több mint 35 000 számítógépet vett célba. A fejlett állandó fenyegetéseket (APT) alkalmazó Lazarus csoport Manuscrypt malware-jével mutatott hasonlóság miatt „PseudoManuscrypt” névre keresztelt új malware fejlett kémkedési funkciókkal rendelkezik, célpontjai között pedig a kormányzati szervezetek éppúgy megtalálhatók, mint a különféle iparágakban használt ipari vezérlőrendszerek (ICS).
Az ipari szervezetek a kiberbűnözők legkívánatosabb célpontjai közé tartoznak, mind az anyagi haszon, mind az információgyűjtés szempontjából. 2021-ben például jelentős mértékben megnőtt a jól ismert APT-csoportok, mint például a Lazarus és az APT41 ipari szervezetek iránti érdeklődése. A Kaspersky szakértői egy másik támadási lánc vizsgálata közben új malware-re bukkantak, amely bizonyos hasonlóságot mutatott a Lazarus-csoport védelmi iparág ellen irányuló ThreatNeedle kampányában használt „Manuscrypt” malware-rel, ezért aztán a PseudoManuscrypt nevet adták neki.
A 2021. január 20. és november 10. közötti időszakban a Kaspersky termékei 195 országban több mint 35 000 számítógépen blokkolták a PseudoManuscryptet. A célpontok között sok ipari és kormányzati szervezet volt, többek között hadiipari vállalatok és kutatólaboratóriumok. A megtámadott számítógépek 7,2%-a ipari vezérlőrendszerek részét képezte, a leginkább érintett iparágakat pedig a mérnöki ipar és az épületautomatizálás képviselte.
A PseudoManuscrypt először hamis szoftvertelepítő archívumokon keresztül (melyek között vannak ICS-specifkus kalózszoftver-telepítők is) töltődik le a célpontok rendszereire. Valószínű, hogy ezek a hamis telepítők egy malware-mint-szolgáltatás (MaaS) platformról származnak. Különös módon olyan esetek is előfordultak, amikor a PseudoManuscrypt a hírhedt Glupteba botneten keresztül lett telepítve. A kezdeti fertőzés után beindul egy komplikált fertőzési lánc, amely végül letölti a fő kártékony modult. A Kaspersky szakértői a modul két variánsát azonosították. Mindkettő fejlett kémkedési funkciókkal rendelkezik, többek között képesek naplózni a billentyűleütéseket, adatokat másolni a vágólapról, VPN (és potenciálisan RDP) hitelesítési adatokat és csatlakozási adatokat lopni, képernyőfotókat másolni, stb.
A támadásokban nem fedezhető fel egy adott iparág iránti preferencia, ugyanakkor a megtámadott mérnöki számítógépek – többek között a 3D-s és a fizikai modellezéshez használt rendszerek és a digitális ikrek – nagy száma arra enged következtetni, hogy az egyik cél az ipari kémkedés lehet.
Furcsa módon néhány áldozat kapcsolatot mutat az ICS CERT által korábban már ismertetett Lazarus kampány áldozataival, és az adatokat egy olyan ritka protokollon keresztül küldik a támadók szerverére, amelyet csak az APT41 malware-jénél használtak korábban. Mindezek ellenére az áldozatok nagy számára és a konkrét fókuszpont hiányára tekintettel a Kaspersky nem kapcsolja a kampányt sem a Lazarushoz, sem bármely más ismert APT-csoporthoz.
„Ez egy nagyon szokatlan kampány, és még mindig csak a rendelkezésünkre álló különféle információk összerakosgatásánál tartunk. Egy dolog azonban világos: ez egy olyan fenyegetés, amelyre a szakembereknek oda kell figyelniük, hiszen több ezer ICS-számítógéphez utat talált már, sok neves szervezetnél is. Tovább folytatjuk a vizsgálatainkat, és folyamatosan tájékoztatjuk a biztonsági közösséget az új megállapításokról” – jelentette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
A Kaspersky szakértői szerint a szervezetek így védekezhetnek a PseudoManuscrypt ellen:
- Telepítsenek végpontvédelmi szoftvert minden szerverre és munkaállomásra.
- Ellenőrizzék, hogy minden végpontvédelmi komponens be van-e kapcsolva minden rendszeren, és hogy van-e olyan szabályzat, amely megköveteli a rendszergazdai jelszó megadását, ha valaki megpróbálja letiltani a szoftvert.
- Ellenőrizzék, hogy az Active Directory szabályzatok tartalmaznak-e korlátozásokat a felhasználók rendszerekbe való bejelentkezési kísérleteire vonatkozóan. A felhasználók számára csak azokba a rendszerekbe legyen engedélyezve a bejelentkezés, amelyek a munkaköri feladataik ellátásához szükségesek.
- Korlátozzák a hálózati kapcsolatokat, többek között a VPN-t a gyártásautomatizálási (OT) hálózat rendszerei között, és blokkolják a kapcsolatokat minden olyan porton, amelyek nem szükségesek a gyártási tevékenységek folytonosságához vagy biztonságosságához.
- VPN kapcsolat létrehozásakor második hitelesítési tényezőként használjanak okoskártyákat (tokeneket) vagy egyszer használatos kódokat. Amennyiben lehetséges, alkalmazzák a hozzáférés-ellenőrző lista (ACL) technológiát azon IP-címek listájának korlátozásához, amelyekről VPN kapcsolat kezdeményezhető.
- Részesítsék képzésben a vállalat dolgozóit az internet, az e-mail és más kommunikációs csatornák biztonságos használatának témájában, és kiemelten figyeljenek oda annak ismertetésére, hogy milyen következményekkel járhat a fájlok nem ellenőrzött forrásokból való letöltése és futtatása.
- A helyi rendszergazdai és tartomány-rendszergazdai jogosultsággal rendelkező fiókokat csak akkor használják, amikor az a munkaköri feladatok ellátásához szükséges.
- Vegyék fontolóra a felügyelt észlelési és elhárítási szolgáltatások használatát, ezáltal ugyanis gyors hozzáférést kaphatnak a biztonsági szakemberek magas szintű tudásához és szakértelméhez.
- Használjanak kifejezetten a gyártórendszerekhez fejlesztett védelmi megoldást. A Kaspersky Industrial CyberSecurity védelmet nyújt az ipari végpontok számára, és lehetővé teszi az OT-hálózat felügyeletét a kártékony tevékenység észlelése és blokkolása érdekében.
You must be logged in to post a comment.