Na oficjalnej stronie Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych Ameryki Północnej, 25 czerwca został opublikowany raport bezpieczeństwa opracowany przez US-CERT, którego tematem przewodnim była analiza złośliwego oprogramowania wykorzystywanego w kampaniach cyberprzestępczych z wykorzystaniem różnych wektorów infekcji, a należały do nich wiadomości phishingowe, przekierowania do zainfekowanych stron internetowych, infekcje instalatorów dostawców web aplikacji trojanem Havex oraz dostawców przemysłowych systemów sterowania ICS.
Badania ICS-CERT na podstawie informacji uzyskanych od firm Symantec i F-Secure wykazały, że do infekcji doszło poprzez wiadomości phishingowe. Hakerzy wykorzystali tzw. taktykę wodopoju (watering hole). Według analizy, techniki te mogłyby pozwolić napastnikom na dostęp do sieci systemów, które zostały zainstalowane z zainfekowanego instalatora.
Trojan Havex jest trojanem zdalnego dostępu (RAT – Remote Access Trojan), który komunikuje się poprzez serwer zdalnej kontroli C&C i ma możliwość rozmieszczenia dodatkowych ładównków, które moga zapewnić mu dodatkową funkcjonalność. Zidentyfikowany i analizowany ładunek przez analityków zespołu CERT mógł uzyskać dostęp do wszystkich zasobów sieciowych, w tym do:
- podłączonych komputerów,
- wspóldzielonych zasobów,
- uzyskać dostęp do informacji o podłączonych zasobach systemu sterowania w sieci
Niebezpieczny ładunek gromadzi informacje o serwerze OPC (który zapewnia standart komunikacji powszechnie stosowanych m.in do kontroli procesów i automatyzacji produkcji) w tym o jego wersji, klasach identyfikacji CLSID, identyfikatorach programu, producencie i przepustowości serwera. Badania ICS-CERT ustaliły, że Havex spowodował wiele awarii serwerów OPC.
Łagodzenie skutków watering hole
Zarówno Symantec, F-Secure jak i ICS-CERT zalecają, aby firmy sprawdziły swoje dzienniki sieciowe w celu wykrycia aktywności związanej z tą cyberprzestępczą kampanią. Wszelkie dowody o szkodliwej działalności należy zachować jako dowód w celu przyszłej analizy sądowej.
Aby zminimalizować ryzyko ataku ICS-CERT zaleca:
- Patchować aplikacje, szczególnie na komputerach, które dostarczają usługi publiczne takie jak HTTP, FTP, poczta, DNS.
- Aktualizowanie i utrzymanie podpisów cyfrowych, silników antywirusowych na bieżąco.
- Wdrożenie segmentacji sieci V-LAN w celu ograniczenia rozprzestrzeniania się złośliwego oprogramowania.
- Zachowanie ostrożności podczas korzystania z nośników wymiennych.
- Rozważyć wdrożenie oprogramowania korzystającego z białych list aplikacji oraz wprowadzenie polityk ograniczających dostęp do zasobów.
- Rozważyć zastosowanie metod uwierzytelniania dwuskładnikowego dla dostępu uprzywilejowanych kont lub systemów z poziomu administratora.
- Gdy wymagane jest zdalny dostęp, należy rozważyć wdrożenie dwuskładnikowego uwierzytelniania przez bramę IPSec / VPN z dzielonego tunelowania.
- Wdrożenie Secure Socket Layer (SSL) w celu sprawdzenia zarówno ruchu in / out dla potencjalnego szkodliwego działania..
- Zapewnić niezawodne rejestrowanie np. dzienników sieciowych, hostów, proxy, DNS i IDS.
- Wykorzystać statyczny charakter systemów kontroli szukających anomalii sieciowych.
Więcej informacji na temat Havex: http://www.f-secure.com/weblog/archives/00002718.html
źródło: ics-cert.us-cert.gov, F-Secure, własne
