Nowe oprogramowanie szkodliwe zagraża kluczowym procesom inżynieryjnym w systemach kontroli przemysłowej

Badania Forescout Research zidentyfikowały rosnące zagrożenie skierowane na stanowiska inżynieryjne w technologii operacyjnej (OT) i systemach sterowania przemysłowego (ICS).

Wydana w wtorek analiza podkreśla, jak coraz częściej występuje złośliwe oprogramowanie atakujące te stanowiska pracy.

Badania skupiły się na złośliwym oprogramowaniu znalezionym w VirusTotal, które obejmowało incydenty związane z zainfekowanym robakiem Ramnit stanowiskiem inżynieryjnym Mitsubishi, a także nowym eksperymentalnym złośliwym oprogramowaniem znanym jako Chaya_003, które zakłóca procesy inżynieryjne Siemens.

Oprogramowanie złośliwe specyficzne dla OT, choć mniej powszechne niż ataki na oprogramowanie korporacyjne czy systemy operacyjne mobilne, stanowi znaczące zmartwienie dla operatorów zabezpieczeń w środowiskach przemysłowych.

Stacje robocze inżynieryjne, które odgrywają kluczową rolę w kontrolowaniu i monitorowaniu kluczowej infrastruktury, są głównymi celami tego typu ataków. Raport opracowany przez Instytut SANS zidentyfikował kompromitację stacji roboczej inżynieryjnej jako czołowy wektor ataku, odpowiedzialny za ponad 20% incydentów w systemach OT.

Analiza przeprowadzona przez Forescout skupiła się na złośliwym oprogramowaniu atakującym stacje robocze inżynieryjne, które obsługują zarówno tradycyjne systemy operacyjne, takie jak Windows, jak i specjalistyczne oprogramowanie inżynieryjne, takie jak Siemens TIA Portal i Mitsubishi GX Works.

Badania wykazały dwa główne skupiska złośliwego oprogramowania atakujące te stanowiska. W jednym przypadku, pliki wykonywalne Mitsubishi GX Works zostały zainfekowane robakiem Ramnit w dwóch oddzielnych incydentach. Drugi przypadek dotyczył trzech próbek nowego wariantu złośliwego oprogramowania, Chaya_003, który został specjalnie zaprojektowany do zakończenia procesów inżynieryjnych firmy Siemens.

Ramnit, szczep złośliwego oprogramowania początkowo znany z atakowania danych bankowych, ewoluował w bardziej zaawansowaną platformę zdolną do infekowania systemów OT. Najnowsze ustalenia firmy Forescout pokazują, że Ramnit nadal stanowi trwałe zagrożenie dla sieci OT.

Oprogramowanie szkodliwe może rozprzestrzeniać się za pośrednictwem skompromitowanych urządzeń fizycznych, takich jak pendrive’y, czy słabo zabezpieczonych systemów sieciowych. Chociaż konkretny wektor tych infekcji pozostaje niejasny, jest oczywiste, że malware nadal wpływa na środowiska OT.

Z drugiej strony, Chaya_003 reprezentuje nowe i ewoluujące zagrożenie. Główna funkcjonalność tego oprogramowania szkodliwego obejmuje zakończenie kluczowych procesów inżynieryjnych. Jego konstrukcja sugeruje świadome próby podszywania się pod legalne procesy systemowe, aby uniknąć wykrycia przez oprogramowanie zabezpieczające.

Forescout twierdzi, że złośliwe oprogramowanie jest dostarczane za pośrednictwem infrastruktury typu command-and-control (C2), która korzysta z legalnych usług, takich jak Discord webhooks, co utrudnia jego wykrycie.

Badania podkreślają znaczenie zabezpieczania stanowisk inżynierskich w celu zapobiegania tego typu atakom. Zalecenia obejmują regularne aktualizowanie oprogramowania, implementację solidnej ochrony punktów końcowych i segmentację sieci w celu ograniczenia dostępu do kluczowych systemów.

Rosnąca wyszukaność tych ataków, napędzana dostępnością generatywnych narzędzi AI, podkreśla potrzebę proaktywnych środków bezpieczeństwa w sektorze OT.

Badania przeprowadzone przez Forescout ostrzegają również, że w miarę jak malware atakujący procesy inżynieryjne staje się bardziej dostępny, linia podziału między mniej wykwalifikowanymi a bardziej zaawansowanymi atakującymi zaczyna się zacierać, co utrudnia odróżnienie prostej i wysoce zaawansowanej groźby.