Güvenlik firması Kaspersky 16 Aralık tarihli bir özette, Kuzey Kore bağlantılı Lazarus Group ile benzer taktik, teknik ve prosedürlere sahip bir grubun 2021 yılına kadar hükümet ve gizlilik endüstrisi bilgisayarlarını endüstriyel kontrol sistemlerine (ICS) odaklanarak hedeflediğini belirtti.
10 Kasım itibariyle, bağlantısız grup, özellikleri Lazarus Group tarafından kullanılan Manuscrypt programına benzediği için Kaspersky tarafından PseudoManuscrypt adlı kötü amaçlı yazılımla 195 ülkede 35.000’den fazla sistemi hedef almıştı. Operasyon herhangi bir endüstriyi ayırt etmemiş gibi görünse de, etkilenen sistemler arasında askeri-endüstriyel işletmelerdeki ve araştırma laboratuvarlarındaki bilgisayarlar vardı ve bilgisayarların %7’sinden fazlası endüstriyel kontrol sistemlerinin bir parçası olarak kuruldu.
Kaspersky güvenlik uzmanı Vyacheslav Kopeytsev, saldırı, güvenliği ihlal edilen sistemlerin hacmiyle öne çıkmasa da hassas sistemlerin sayısının şaşırtıcı olması gerektiğini söylüyor.
“Dünya çapında çok sayıda ICS bilgisayarının -yalnızca telemetrimize göre binlerce ve gerçekte çok daha fazla olması çok muhtemeldir- bu kampanyada saldırıya uğramış olması, onu kesinlikle en yakın ilgiyi hak eden bir tehdit haline getiriyor. üretim yeri sistemlerinin güvenliğinden ve güvenliğinden ve bunların sürekli çalışmasından sorumlu uzmanlar” diyor.
“3D ve fiziksel modelleme için kullanılan sistemler de dahil olmak üzere çok sayıda mühendislik bilgisayarı saldırıya uğradığında,” diye ekliyor, “dijital ikizlerin geliştirilmesi ve kullanılması, kampanyanın olası hedeflerinden biri olarak endüstriyel casusluk sorununu gündeme getiriyor.”
Savunmacılar için endüstriyel kontrol sistemleri, savunmasızlıkları ve bir saldırının potansiyel etkisi nedeniyle yüksek bir risk teşkil eder. Bu sistemlerin çoğu daha eskidir ve son on yılda güvenli tasarım ve geliştirmeye artan bir odaklanmadan önce gelir ve arkalarında esasen saldırganlar tarafından kolayca manipüle edilebilecek tasarım açıkları olan özellikler bırakır. Oldsmar, Fla., su arıtma tesisinin 2021’in başlarında kaçırılması, tasarımı gereği güvenli olmayan altyapıya yönelik basit saldırı olasılıklarına dikkat çekti.
Ancak, PseudoManuscrypt gibi kötü amaçlı yazılım saldırıları, BT ağları ile OT ağları arasında geçiş yapmanın yaygın bir yolu olmaya devam ediyor. Kötü amaçlı yazılım ilk olarak, ICS yazılımı da dahil olmak üzere korsan olduğu iddia edilen yazılımların sahte sürümlerinin yanı sıra bir hizmet olarak kötü amaçlı yazılım (MaaS) ağları aracılığıyla yüklenir. Kaspersky’nin analizi. Karmaşık bir yükleme zincirinden sonra kötü amaçlı yazılım, bağlantılı bilgisayarlardan ve cihazlardan bilgi toplar.
Kopeytsev, “Bu kötü amaçlı yazılımın en ciddi etkisi, gizli veri hırsızlığıdır – oturum açma bilgileri ve parolalar, VPN bağlantı ayarları, ekran görüntüleri ve hatta ekrandan video kaydı; bunların tümü PseudoManuscrypt tarafından toplanır” diyor.
Lazarus grubuyla bağlantı oldukça zayıf. Lazarus Group’un operasyonları, Kuzey Kore hükümetinin Keşif Bürosu ve faaliyetleri ile bağlantılıdır. APT37, APT38 ve Kimsuky ile örtüşme. ThreatNeedle adlı bir operasyonda Lazarus Group, yeni kötü amaçlı yazılım PseudoManuscrypt ile birçok benzerliği paylaşan Manuscrypt adlı özel kötü amaçlı yazılım kullandı. Kaspersky tarafından yayınlanan ek bilgiler.
Kopeytsev, “Her iki kötü amaçlı program da sistem kayıt defterinden bir yük yükler ve şifresini çözer” diyor. “Her iki kötü amaçlı programın yürütülebilir dosyaları hemen hemen aynı dışa aktarma tablolarına sahiptir. Ayrıca, iki kötü amaçlı program benzer yürütülebilir dosya adlandırma biçimleri kullanır.”
Saldırganın kimliğine ilişkin diğer ipuçları, programın meta verilerindeki Çince yorumları, daha önce Çin devlet destekli APT41 grubu tarafından kullanılan bir kitaplığın kullanımını ve komuta ve kontrol sunucusuna Çince olarak gönderilen iletişimleri içerir.
“[W]Kaspersky, yaptığı analizde, “Kampanyanın paralı suç hedefleri mi yoksa bazı hükümetlerin çıkarlarıyla bağlantılı hedefler mi peşinde olduğunu kesin olarak söyleyemem” dedi. tehdit seviyesi kadar yüksek.”
2021’in ilk dört ayında şirket, yalnızca düşük düzeyde PseudoManuscrypt algılaması gördü, ancak bu, her gün 200’den fazla kötü amaçlı yazılım örneğinin algılandığı Mayıs ayında değişti. Devam eden saldırıdan en çok etkilenen ülkeler, PseudoManuscrypt kullanılarak saldırıya uğrayan tüm bilgisayarların %30’undan fazlasını oluşturan Rusya, Hindistan ve Brezilya’dır. Amerika Birleşik Devletleri’ndeki kuruluşlar, faaliyetlerin yalnızca %2,4’ünü temsil ederek en çok hedeflenen sekizinci kuruluştu.
Saldırıya uğrayan endüstriyel sistemlerin %44’ü mühendislik ve bina otomasyonu sektörlerindeydi.
Bazı sağduyulu adımlar, şirketlerin kötü amaçlı yazılımlarla, hatta ICS odaklı kötü amaçlı yazılımlarla bile başa çıkmasına yardımcı olabilir. Güvenliği kapatmak için bir yönetici parolasının girilmesini gerektirerek genel güvenlik artırılabilir ve iki faktörlü kimlik doğrulama, kimlik bilgisi doldurma saldırılarını engelleyebilir. Kaspersky, imalatçıların, mühendislik firmalarının ve kamu hizmetlerinin atölye sistemlerini korumak için özel güvenlik kullanmaları gerektiğini söyledi.
