Canal de Telegram

18 abr 2022

Segu-Info » , , » Nueva versión del malware Industroyer utilizada en ataque contra proveedor de energía en Ucrania

Nueva versión del malware Industroyer utilizada en ataque contra proveedor de energía en Ucrania

18 abr 2022, 8:30:00 a.m.   Comenta primero!
  , ,  

Investigadores de ESET respondieron a un incidente de seguridad que afectó a un proveedor de energía en Ucrania. Trabajaron en estrecha colaboración con el CERT-UA (Centro de respuesta a incidentes de Ucrania) para remediar y proteger la red de esta infraestructura crítica.

El trabajo dio como resultado el descubrimiento de una nueva variante del malware Industroyer, que junto con el CERT-UA llamamos Industroyer2; consulte la publicación de CERT-UA aquí. Industroyer es un malware que fue utilizada en 2016 por el grupo de APT Sandworm para cortar el suministro eléctrico en Ucrania.

Los atacantes detrás de Sandworm intentaron implementar el malware Industroyer2 contra subestaciones eléctricas de alto voltaje en Ucrania.

Además de Industroyer2, Sandworm utilizó varias familias de malware destructivas, incluidas CaddyWiper, ORCSHRED, SOLOSHRED y AWFULSHRED. Descubrieron CaddyWiper el 14 de marzo de 2022 cuando se usó contra un banco ucraniano y se usó nuevamente una variante de este malware el 08 de abril contra el proveedor de energía ucraniano mencionado anteriormente.

En este punto, no sabemos cómo los atacantes lograron el compromiso inicial ni cómo fue que se movieron de la red de TI a la red del Sistema de control industrial (ICS). La figura 1 muestra una descripción general de los diferentes malware del tipo wiper que fueron utilizados en este ataque.

Industroyer2 solo implementa el protocolo IEC-104 (también conocido como IEC 60870-5-104) para comunicarse con equipos industriales. Esto incluye protección de relés utilizados en subestaciones eléctricas. Este es un ligero cambio con respecto a la variante Industroyer de 2016, que es una plataforma completamente modular con payloads para múltiples protocolos de sistemas de control industrial.

Industroyer2 es altamente configurable. Contiene una configuración detallada hardcodeada en su cuerpo, que impulsa las acciones del malware. Esto es diferente de Industroyer que almacena la configuración en un archivo .INI separado. Por lo tanto, los atacantes deben volver a compilar Industroyer2 para cada nueva víctima o entorno. Sin embargo, dado que la familia de malware Industroyer solo se desplegó dos veces, con un lapso de cinco años entre cada versión, esto probablemente no sea una limitación para los operadores de Sandworm.

El nuevo formato de configuración se almacena como una cadena que luego se suministra a la rutina de comunicación IEC-104 del malware. Industroyer2 puede comunicarse con múltiples dispositivos a la vez.

CaddyWiper

En coordinación con el despliegue de Industroyer2 en la red de un Sistema de Control Industrial (ICS), los atacantes desplegaron una nueva versión del malware destructivo CaddyWiper. Creemos que la intención era hacer más lento el proceso de recuperación y evitar que los operadores de la compañía de energía recuperaran el control de las consolas ICS. También se desplegó en la máquina donde se ejecutó Industroyer2, probablemente para borrar cualquier rastro del malware.

La primera versión de CaddyWiper fue descubierta por investigadores de ESET en Ucrania el 14 de marzo de 2022 cuando se desplegó en la red de un banco. Se desplegó a través de un objeto de política de grupo (GPO, por sus siglas en inglés), lo que indica que los atacantes tenían control previo de la red de la víctima. El Wiper borra datos del usuario y la información almacenada en las particiones de las unidades conectadas, lo que hace que el sistema quede inoperable e irrecuperable.

Enumeración de Active Directory

Junto con CaddyWiper se encontró un script de PowerShell, tanto en la red del proveedor de energía como en el banco que había sido comprometido anteriormente con este malware.

Este script enumera objetos de política de grupo (GPO) utilizando la interfaz de servicio de Active Directory (ADSI). El script es casi idéntico a un fragmento que fue compartido en una publicación en Medium.

Malware destructivo de Linux y Solaris (ORCSHRED, SOLOSHRED, AWFULSHRED)

En la red de la compañía de energía apuntada también se encontró malware destructivo dirigido a sistemas que corren Linux y Solaris. Son dos los componentes principales que se utilizan para llevar adelante este ataque: un gusano y un Wiper. Este último se encontró en dos variantes, una para cada uno de los sistemas operativos de destino. Todo el malware se implementó en Bash.

El Wiper para Linux

La variante para Linux del Wiper tiene variables ligeramente ofuscadas y los nombres de las funciones se reemplazaron con una palabra de 8 letras sin sentido. La mayoría de los valores literales también se reemplazaron con variables al principio del archivo.

El Wiper para Solaris

A diferencia del Wiper para Linux, la variante para Solaris no está ofuscada. Al igual que la variante para Linux, el script malicioso itera sobre todos los servicios para detenerlos y deshabilitarlos si contienen la palabra clave SSH, HTTP, Apache y, además, Ora_ u Oracle. Es muy probable que esos servicios sean utilizados por aplicaciones utilizadas para manejar sistemas de control industrial. Eliminarlos evitaría que los operadores de la empresa energética puedan recuperar el control de las subestaciones y reviertan las acciones de Industroyer2.

Fuente: ESET | CERT-UA

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!