WikiDer > Havex - Vikipediya

Havex - Wikipedia

Havex zararli dasturi, shuningdek, Backdoor.Oldrea deb nomlanuvchi, a KALAMUSH Rossiyaning "Energetic Bear" yoki "Dragonfly" APT guruhiga tegishli.[1][2] Havex 2013 yilda kashf etilgan va so'nggi o'n yil ichida ishlab chiqilgan ma'lum ICS moslashtirilgan zararli dasturlardan biri. Ushbu zararli dasturlarga quyidagilar kiradi Stuxnet, BlackEnergy, Industroyer / CRASHOVERIDEva TRITON / TRISIS.[3] Energetic Bear energetika, aviatsiya, farmatsevtika, mudofaa va neft-kimyo sohalariga qaratilgan keng josuslik kampaniyasida Havex-dan foydalanishni boshladi.[1] Aksiya asosan AQSh va Evropada qurbonlarga qaratilgan.[2]

Kashfiyot

Havex zararli dasturi kiberxavfsizlik tadqiqotchilari tomonidan kashf etilgan F-xavfsiz va Symantec va tomonidan xabar berilgan ICS-CERT 2014 yilda ushbu ikkala firmaning ma'lumotlaridan foydalangan holda.[4][5] ICS-CERT Alert bir nechta hujum vektorlari orqali ICS uskunalariga qaratilgan yangi zararli dastur kampaniyasini tahlil qilgani va maqsadli tarmoqdagi sanoat uskunalarida razvedka o'tkazish uchun OPC dan foydalanganligi haqida xabar berdi.[2]

Tavsif

Havex zararli dasturida ikkita asosiy komponent mavjud: RAT va PHP-da yozilgan C&C-server.[4] Havex shuningdek, OPC ni o'z ichiga oladi (Platforma aloqasini oching) tarmoqdagi sanoat moslamalarini izlash uchun ishlatiladigan skanerlash moduli.[2] OPC skanerlash moduli 44818, 105 va 502 portlarida ishlaydigan TCP qurilmalarini skanerlash uchun mo'ljallangan.[6] SANS tadqiqotchilari ushbu portlar odatiy ekanligini ta'kidladilar ICS / SCADA Siemens va Rockwell Automation kabi kompaniyalar.[6] Suiiste'mol qilish orqali OPC protokoli, Havex sanoat tarmoqlarini qurbon tizimlarida bir marta xaritalagan.[7] Tadqiqotchilar ta'kidlashlaricha, OPC skanerlash moduli faqat eskilarida ishlaydi DCOMOPC standarti (tarqatilgan komponentlar ob'ekti modeli) va so'nggi OPC Unified Architecture (UA) emas.[2] Havex ICS-ga moslashtirilgan zararli dasturlar toifasiga qo'shiladi, chunki u ushbu maxsus tizimlarda ma'lumot yig'ish uchun yozilgan. Havex shuningdek, ta'minot zanjiri va sug'orish teshiklari hujumlari ICS sotuvchisi veb-saytlarida, qurbonlik tizimlariga kirish huquqini olish uchun nayzalangan fishing kampaniyalaridan tashqari.[5][6] Sug'orish teshigi va ta'minot zanjiri hujumlari metodikada ikki xil edi. Birinchi usulda, qurbonlar qonuniy sotuvchilar veb-saytlaridan Havex zararli dasturlarini o'z ichiga olgan buzilgan sahifalarga yo'naltirildi.[1] Ikkinchi usulda, tajovuzkorlar sotuvchining zaif veb-saytlari va buzilgan qonuniy dasturiy ta'minotni buzib, Havex RAT-ni kiritishdi. Keyinchalik, foydalanuvchilar sotuvchi veb-saytlaridan boshqa qonuniy dasturlarni yuklab olishda zararli dasturlarni bilmasdan yuklab olishadi.[6] Ushbu usul zararli dasturlarga an'anaviy xavfsizlik choralarini chetlab o'tishga imkon berdi, chunki dasturlar tarmoqqa dasturlarni o'rnatish huquqi bilan foydalanuvchilar tomonidan yuklab olingan. Ma'lum bo'lgan buzilgan sotuvchilar MESA Imaging, eWON / Talk2M va MB Connect Line edi.[8] Hujum vektorlari biznes tarmoqlariga qaratilgan bo'lsa-da, ko'plab ICS muhitida mustahkam havo bo'shliqlarining etishmasligi Havex kabi zararli dasturlarning biznes tarmoqlaridan sanoat tarmoqlariga osongina o'tishiga va ICS / SCADA uskunalariga zarar etkazishiga imkon berishi mumkin. Havex, boshqa orqa eshik dasturlari singari, shuningdek, boshqa zararli kodlarni jabrlanganlarning qurilmalariga kiritishga imkon beradi. Xususan, Havex ko'pincha Karagany foydali yukini buzilgan qurilmalarga kiritish uchun ishlatilgan. Karagany hisobga olish ma'lumotlarini o'g'irlashi, skrinshotlarni olishlari va fayllarni Dragonfly C & C serverlariga olib kirishlari mumkin.[6]

Ta'sir qilingan mintaqalar va qurbonlar

Dragonfly guruhi energiya va aviatsiyaga qarshi josuslik kampaniyasida Havex zararli dasturidan foydalangan. asosan AQSh va Evropada farmatsevtika, mudofaa va neft-kimyo qurbonlari.[1] Dragos-dagi kiberxavfsizlik tadqiqotchilari ushbu mintaqalarda va sohalarda 2000 dan ortiq saytlarga mo'ljallangan kampaniyani taxmin qilishdi.[9] Tadqiqotchilar Symantec Havex zararli dasturi dastlab AQSh va Kanadaning mudofaa va aviatsiya sohalarini nishonga olgandan keyin energiya infratuzilmasi maqsadlarini qidirishni boshladi.[10] Kashfiyot jarayoni davomida tadqiqotchilar Havex kampaniyasi bilan bog'liq bo'lgan 146 ta C & C serverlarini va zararli dasturlarning 88 ta variantlarini ko'rib chiqdilar.[11]

Ekspluatatsiya to'plamlari

Veb-saytni qayta yo'naltirish bo'yicha in'ektsiya

Havex yuqtirilgan tizimlar sug'orish teshigi orqali foydalanuvchilarni zararli veb-saytlarga yo'naltirish.[1] Ushbu kampaniyada buzilgan veb-saytlar tizimlarni Havex va Karagany troyanlariga yuqtirish uchun LightsOut va Hello ekspluatatsiya to'plamlaridan foydalangan.[10] LightsOut ekspluatatsiya to'plami Java va brauzer zaifliklaridan foydalanib, Havex va Karagany yuklarini etkazib berishdi.[10] Salom ekspluatatsiya to'plami LightsOut ekspluatatsiya to'plamining yangilangan versiyasidir va 2013 yilda foydalanishga topshirilgan.[10] Yangilangan Hello ekspluatatsiya to'plamidan foydalaniladi oyoq izi maqsadli operatsion tizim versiyalari, shriftlar, brauzer qo'shimchalari va boshqa foydalanuvchi ma'lumotlarini aniqlash. Ushbu ma'lumot to'plangandan so'ng ekspluatatsiya to'plami jabrlanuvchini zararli dasturga yo'naltiradi. URL manzili maqsadga kirish uchun eng samarali ekspluatatsiya asosida.[10]

Adabiyotlar

  1. ^ a b v d e "Havex". NJCCIC. Olingan 2018-04-18.
  2. ^ a b v d e "ICS qaratilgan zararli dastur | ICS-CERT". ics-cert.us-cert.gov. Olingan 2018-04-18.
  3. ^ "Tajovuzkorlar" TRITON "yangi ICS hujum doirasini ishga tushirishdi va operatsion buzilishni muhim infratuzilma bilan ta'minlashga olib keladi | FireEye". Olingan 2018-05-14.
  4. ^ a b "ICS Fokusli zararli dastur (A yangilash) | ICS-CERT". ics-cert.us-cert.gov. Olingan 2018-04-18.
  5. ^ a b "Havex RAT asosida kiberjosuslik kampaniyasi ICS / SCADA tizimlarini urdi". Xavfsizlik ishlari. 2014-06-25. Olingan 2018-04-18.
  6. ^ a b v d e Nelson, Nell (2016 yil 18-yanvar). "Dragonfly zararli dasturlarining sanoatni boshqarish tizimlariga ta'siri". SANS instituti.
  7. ^ "CRASHOVERRIDE: Elektr tarmoqlari ishiga tahdid tahlili" (PDF).
  8. ^ "Havex troyan dasturlarining to'liq ochilishi - NETRESEC blogi". Netresec. Olingan 2018-04-15.
  9. ^ "CRASHOVERRIDE: Elektr tarmoqlari ishiga tahdid tahlili" (PDF).
  10. ^ a b v d e "Dragonfly: Energiya etkazib beruvchilarga qarshi kiberjosurlik hujumlari" (PDF). 2014 yil 7-iyul.
  11. ^ "Ishlab chiqarishni boshqarish tizimlariga qarshi Havex RAT dan foydalangan tajovuzkorlar | SecurityWeek.Com". www.securityweek.com. Olingan 2018-04-18.