Już 15 marca o 18:00 zapraszamy Was na kolejne rozgrywki Ligi Cyber Twierdzy, podczas których nie zabraknie emocji.
W ostatnim czasie obserwujemy wzrost aktywności grup APT, które są związane z Rosją i Białorusią. Ich aktywność koncentruje się przede wszystkim na sektorze paliwowo-energetycznym oraz innych elementach infrastruktury krytycznej naszego kraju. Zagrożone mogą być rafinerie, rurociągi, elektrownie i sieci dystrybucyjne
Aktywność Grup APT skierowana jest przeciw krajom wspierającym aktywnie Ukrainę w konflikcie z Rosją. Jednym z głównych celów atakujących jest wywołanie niepokojów społecznych i politycznych. Ponadto ewentualne kampanie mogą stanowić preludium do incydentu zbrojnego, poprzez osłabienie potencjału obronnego wynikające z zakłócenia łańcucha dostaw.
Eksperci z firmy CyberGrzmot wykryli gigantyczny botnet bazujący na urządzeniach z krajów europejskich. Składa się on z około 25,7 miliona urządzeń, w tym z komputerów, kamer IP, telewizorów, urządzeń z systemem Android oraz urządzeń IoT.
Firma CyberGrzmot ostrzega, że botnet ten może zostać wykorzystany jako platforma do uruchomienia wielu kampanii skierowanych przeciwko dużym organizacjom z sektora infrastruktury krytycznej, paliwowo-energetycznego, bankowego i finansowego, na co wskazują informacje odnalezione na forach cyberprzestępców w Darknet.
Kampanie te mogą mieć różny charakter. W przeszłości różne botnety wykorzystywane były w kampaniach phishingowych, atakach DDoS, próbach łamania haseł z wykorzystanie metody Brute-Force, czy też dystrybucji oprogramowania złośliwego. Były one także często wykorzystywane do odwrócenia uwagi od rzeczywistego ataku kierowanego.
Zazwyczaj ataki w ramach tej kampanii były poprzedzane skanowaniem systemów dostępnych z sieci Internet oraz innymi aktywnościami prowadzonymi z sieci botnet kontrolowanych przez atakujących.
Zidentyfikowane ataki będące elementem opisywanej kampanii zazwyczaj rozpoczynały się od kompromitacji portali informacyjnych lub innych stron WWW związanych z publikacją newsów, które mają wyskoki wskaźnik odsłon dziennych.
Atakujący uzyskiwał do nich dostęp nieznanymi metodami w ramach fazy przygotowawczej do zamierzonego ataku. Następnie umieszczał w nich artykuły związane z najnowszymi wydarzeniami poparte filmami video lub animacjami, wymagającymi rzekomo aktualizacji kodeków na komputerze przeglądającego. Zawarty w treści strony skrypt identyfikował kraj pochodzenia i system operacyjny komputera potencjalnej ofiary. Atakowane dotąd były urządzenia funkcjonujące w oparciu o systemy z rodziny Windows użytkowane w Polsce i innych krajach zaangażowanych w pomoc Ukrainie. W przypadku, gdy skrypt zidentyfikował komputer jako potencjalną ofiarę, użytkownikowi wyświetlano komunikat o konieczności pobrania kodeków zawierających w rzeczywistości malware.
Zazwyczaj po uzyskaniu początkowego dostępu malware dekodował z wykorzystaniem wiersza poleceń klucze kryptograficzne niezbędne do zestawienia szyfrowanego kanału C2 z serwerami atakującego. Następnie atakujący pobierał kolejny payload, który po uruchomieniu z wykorzystaniem zaufanych systemowych plików binarnych umożliwiał mu modyfikację uprawnień do plików i katalogów.
Kolejnym krokiem atakującego było wykonanie rekonesansu wśród plików, w ramach którego poszukiwał on zapisanych haseł dostępowych lup plików cookie zawierających potwierdzenie zestawienia sesji webowej. Atakujący w obserwowanych atakach zwracał szczególną uwagę na dane uwierzytelniające do urządzeń OT lub systemów zarządzających urządzeniami OT.
Rekonesans w obserwowanych atakach nie kończył się na plikach – atakujący przeprowadzał również rekonesans sieciowy mający na celu identyfikację urządzeń OT.
Po zidentyfikowaniu przez atakującego krytycznych elementów OT, atakujący najczęściej zacierał ślady, poprzez ingerencję w logi i dzienniki zabezpieczeń, a następnie ingerował w ustawienia związane z raportowaniem nieprawidłowości związanych z funkcjonowaniem elementów OT. Ingerencje te obejmowały zmianę poziomów po przekroczeniu których monitoring sygnalizował sytuację alarmową oraz zakłócanie pracy systemów sygnalizacji, monitoringu oraz poszczególnych czujników.
Na ostatnim etapie ataku grupa APT ingerowała w ustawienia urządzeń OT (np. sterowniki SCADA) wywołując awarie mogące prowadzić do konsekwencji kinetycznych – zatrzymania procesów produkcyjnych, zniszczenia urządzeń, zagrożenia życia i zdrowia pracowników lub nawet ludności cywilnej, poprzez czynniki chemiczne lub nawet wywołanie pożarów, czy eksplozji.
Zgodnie z informacjami pozyskanymi w Darkweb cyberataki mogą przyjąć charakter kinetyczny ukierunkowany na wywołanie trwałych zniszczeń w infrastrukturze OT związanej z procesem wytwarzania i transportu paliw oraz energii. Grupa APT odpowiedzialna za powstanie botnetu nie została jak dotąd zidentyfikowana, aczkolwiek CERT UA przypisuje go grupom powiązanym lub sympatyzującym z Rosją i Białorusią.
Cały harmonogram rozgrywek i aktualną tabelę znajdziecie w zakładce Liga Cyber Twierdza.
