Rozsáhlá spywarová kampaň ohrožuje tisíce počítačů průmyslových řídicích systémů po celém světě

Rozsáhlá spywarová kampaň ohrožuje tisíce počítačů průmyslových řídicích systémů po celém světě

Nový malware, který ohrožoval víc než 35 000 počítačů ve 195 zemích, zaznamenali od 20. ledna do 10. listopadu 2021 bezpečnostní experti společnosti Kaspersky. Nazvali jej PseudoManuscrypt kvůli jeho podobnosti s malwarem Manuscrypt skupiny Lazarus, která stojí za pokročilými perzistentními hrozbami (APT). Tento nový malware obsahuje různé špionážní funkce a zaměřuje se na skupinu vládních organizací i průmyslových řídicích systémů (ICS) v mnoha různých odvětvích.

Průmyslové organizace patří mezi nejvyhledávanější cíle kyberzločinců, a to jak kvůli očekávanému finančnímu zisku, tak kvůli shromažďování cenných informací. V roce 2021 jsme zaznamenali značný zájem o průmyslové organizace ze strany známých záškodnických skupin využívajících APT, jako jsou Lazarus a APT41. Při vyšetřování další série útoků odhalili odborníci společnosti Kaspersky nový malware, který vykazuje určitou podobnost s malwarem Manuscrypt skupiny Lazarus, speciálním malwarem používaným v její kampani ThreatNeedle proti obrannému průmyslu. Proto jej nazvali PseudoManuscrypt.

Produkty společnosti Kaspersky zablokovaly v období od 20. ledna do 10. listopadu 2021 PseudoManuscrypt víc než na 35 000 počítačích ve 195 zemích. Častými cíli této kampaně byly průmyslové a vládní organizace, včetně vojensko-průmyslových podniků a výzkumných laboratoří. 7,2 % napadených počítačů bylo součástí průmyslových řídicích systémů (ICS), přičemž nejvíc postižená odvětví představovaly strojírenství a automatizace budov.

PseudoManuscrypt se do cílových systémů stahuje prostřednictvím podvržených instalačních archivů pirátského softwaru, maskovaného jako software pro ICS. Je pravděpodobné, že útočníci tyto falešné instalační programy nabízejí prostřednictvím platformy Malware-as-a-Service (MaaS). Zajímavé je, že v některých případech PseudoManuscrypt instalovali pomocí nechvalně známého botnetu Glupteba. Po počáteční infekci se spustí složitý infekční řetězec, který nakonec stáhne hlavní škodlivý modul. Experti společnosti Kaspersky identifikovali dvě varianty tohoto modulu. Obě disponují pokročilými špionážními funkcemi, například pro zaznamenávání stisků kláves, kopírování dat ze schránky, krádež přihlašovacích údajů k virtuálním privátním sítím (VPN) a potenciálně i ke vzdálené ploše (RDP), shromažďování údajů o připojení, kopírování snímků obrazovky atd.

Útoky nepreferují žádná konkrétní průmyslová odvětví, nicméně velký počet napadených systémů pro počítačové projektování, například systémů používaných pro 3D a fyzické modelování nebo pro digitální dvojčata (počítačové modely reálných objektů), naznačuje, že jedním z cílů může být průmyslová špionáž.

Je zvláštní, že některé z obětí mají společné vazby s oběťmi kampaně Lazarus, o které ICS CERT informoval už dříve, a data se na server útočníků odesílají přes neobvyklý protokol využívající knihovnu, která se dřív používala pouze u malwaru skupiny APT41. Vzhledem k velkému počtu obětí a absenci explicitního zaměření však společnost Kaspersky nespojuje tuto kampaň se skupinou Lazarus ani s žádným známým aktérem APT.

„Tato kampaň je velmi neobvyklá a stále dáváme dohromady různé informace, které máme k dispozici. Jedno je však jasné – jedná se o hrozbu, které musejí odborníci věnovat pozornost. Podařilo se jí proniknout do tisíců počítačů ICS, včetně počítačů mnoha významných organizací. Budeme pokračovat ve svém vyšetřování a informovat bezpečnostní komunitu o všech nových poznatcích,“ slibuje Vjačeslav Kopejcev, bezpečnostní expert společnosti Kaspersky.

Víc informací o kampani využívající PseudoManuscrypt najdete na stránkách ICS CERT.

Bezpečnostní experti společnosti Kaspersky doporučují několik základních kroků, jak se chránit před malwarem PseudoManuscrypt.

• Nainstalujte na všechny servery a pracovní stanice bezpečnostní software na ochranu koncových bodů.

• Zkontrolujte, zda jsou na všech systémech aktivovány všechny součásti ochrany koncových bodů a zda se uplatňuje zásada, která vyžaduje zadání hesla správce v případě, že se někdo pokusí software deaktivovat.

• Zkontrolujte, zda zásady služby Active Directory zahrnují omezení počtu pokusů uživatelů o přihlášení do systémů. Uživatelům měli mít povolení přihlašovat se pouze do těch systémů, ke kterým potřebují přístup kvůli plnění svých pracovních povinností.

• Omezte síťová připojení, včetně VPN, mezi systémy v síti provozních technologií (OT). Zablokujte připojení na všech portech, které nejsou nutné pro kontinuitu a bezpečnost provozu.

• Při navazování spojení přes VPN používejte dvoufázové ověřování pomocí bezpečnostních tokenů (např. čipových karet) nebo jednorázových kódů. V případech, kdy je to možné, použijte technologii Access Control List (ACL) k omezení seznamu IP adres, ze kterých lze zahájit připojení k VPN.

• Proškolte zaměstnance firmy v bezpečné práci s internetem, elektronickou poštou a dalšími komunikačními kanály a zdůrazněte možné následky stahování a spouštění souborů z neprověřených zdrojů.

• Účty s právy lokálního administrátora a správce domény používejte pouze v případě, že je to nezbytné k plnění pracovních povinností.

• Zvažte využití služeb typu Managed Detection and Response (MDR), abyste získali rychlý přístup ke špičkovým odborným znalostem a radám bezpečnostních profesionálů.

• Používejte specializovanou ochranu pro výrobní systémy. Ochranu průmyslových koncových bodů a monitorování sítě provozních technologií (OT) k identifikaci a blokování škodlivých aktivit umožňuje například řešení Kaspersky Industrial CyberSecurity.

Tým Kaspersky ICS CERT

Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) je globální projekt spuštěný společností Kaspersky v roce 2016. Jeho cílem je koordinovat úsilí dodavatelů automatizačních systémů, majitelů a provozovatelů výrobních zařízení a výzkumníků v oblasti IT bezpečnosti při ochraně průmyslových podniků před kybernetickými útoky. Kaspersky ICS CERT soustředí svoje úsilí především na identifikaci potenciálních a existujících hrozeb, které cílí na průmyslové automatizační systémy a průmyslový internet věcí (IoT). Kaspersky ICS CERT je aktivním členem a partnerem předních mezinárodních organizací, které vypracovávají doporučení na ochranu průmyslových podniků před kybernetickými hrozbami.

Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější.

Zdroj informací

Kaspersky a NejBusiness.cz

Datum

1. ledna 2022

Fotogalerie

Sociální sítě NejBusiness.cz

Přihlášení

Přihlášení
E-mail:
Heslo:

Doporučujeme

Zajímavosti a tiskové zprávy

3. září 2024

OSTROJ naplno rozjel sériovou výrobu letištní techniky pro Oshkosh AeroTech

Opavský strojírenský výrobce OSTROJ rozšířil strategickou spolupráci s americkou společností Oshkosh...

1. září 2024

KB, MONETA a Air Bank nově umožňují vkládat hotovost do sdílené sítě téměř 800 bankomatů

Od srpna mají klienti Komerční banky, Monety a Air Bank možnost vkládat hotovost do téměř 800 sdílených...

19. srpna 2024

Konica Minolta se zaměřila na ochranu firemních dat proti hackerům

Konica Minolta reaguje na stále rostoucí počty hackerských útoků a potřebu maximálního zabezpečení IT...

15. srpna 2024

První ekologická celodřevěná prodejna BILLA vyrůstá ve Vracově na Hodonínsku

BILLA zahájila v červenci výstavbu své první celodřevěné ekologické prodejny v rámci střední a východní...

11. srpna 2024

Brněnská Authentica loni překročila půlmiliardový obrat a otevřela novou divizi

Brněnská skupina Authentica loni poprvé překročila půlmiliardový obrat, který meziročně vyrostl na celkem...

5. července 2024

Výroba vozidel v Česku nadále roste

V České republice bylo v prvních pěti měsících vyrobeno 651 935 osobních vozidel. To je téměř o 10 % víc...

30. června 2024

Největší fotovoltaický střešní projekt v Česku: V CTParku Bor na Plzeňku

Přední evropská developerská společnost CTP vybudovala bez využití finanční dotace dosud nejrozsáhlejší...

13. června 2024

Skanska uvádí na trh novou lokalitu, Habitat Malešice nabídne multifázový projekt s více než 1 000 byty

Skanska představuje svůj doposud největší rezidenční projekt s názvem Habitat a spouští prodej první...

24. května 2024

NOBO AUTOMOTIVE bude vyrábět sedladla pro BMW v GARBE PARKU České Budějovice

Společnost GARBE, specialista na logistické a průmyslové nemovitosti ve střední a východní Evropě,...

20. května 2024

Bonami expanduje do Itálie

onami, prodejce nábytku dekorací a vybavení do domácnosti, se rozšiřuje na další trh, tentokrát do Itálie....

Reklama

Page generated in 1.5432 seconds.
Redakční systém teal.cz naprogramoval Vítězslav Dostál