Kritiska infrastrukturorganisationer i USA attackeras av skräddarsydd skadlig programvara som utformats specifikt för hårdvaran de använder, varnar landets säkerhets- och brottsbekämpande myndigheter.
Den nya varningen utfärdades gemensamt av Department of Energy (DOE), Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) och Federal Bureau of Investigation (FBI).
I den varnar byråerna för att hotaktörer placerar flera industriella kontrollsystem (ICS) och enheter för tillsynskontroll och datainsamling (SCADA) i sina hårkors, nämligen datorprogrammerbara logiska styrenheter (PLC). Schneider Electric, OMRON Sysmac NEX och open platform PLC . Unified Communications Architecture (OPC UA) servrar.
Mer specifikt Schneider Electrics MODICON och MODICON Nano PLC:er, inklusive TM251, TM241, M258, M238, LMC058 och LMC078; och OMRON Sysmac NJ och NX PLC:er, inklusive NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK och R88D-1SN10F-ECT.
Tydligen heter en av hotaktörerna CHERNOVITE och försöker distribuera en skadlig programvara som heter PIPEDREAM. Säkerhetsforskare vid cybersäkerhetsföretaget Dragos har spårat ICS-specifik skadlig programvara under en tid och upptäckte att den initialt var inriktad på Schneider Electric och Omrons kontroller. Genom att utnyttja den inbyggda funktionaliteten hos endpoints i operationer är skadlig programvara lite svårare att upptäcka.
Dragos vd Robert Lee tror att CHERNOVITE är en statligt sponsrad angripare.
Ett separat cybersäkerhetsföretag, Mandiant, spårade upp en annan skadlig kod, kallad INCONTROLLER. Den här riktar sig också mot Schneider Electric-verktyg och skapas och drivs också av en statligt sponsrad angripare.
Även om inget land namngavs, påminner publikationen om att ukrainska tjänstemän nyligen meddelade att en attack mot en energianläggning skulle stoppas.
På tal med The Record, teknisk chef på cybersäkerhetsföretaget ICS aDolus Technology, sa Schneider Electric MODICON PLC och OPC Unified Architecture (OPC UA)-servrar är troliga mål eftersom de är extremt vanliga i branschen.
Potentiella brister som skulle kunna utnyttjas kan ge angripare förhöjda privilegier, laterala rörelser i en OT-miljö och tillåta störningar av kritiska enheter eller funktioner, tillade han.
Via: Arkivet