Le aziende del settore industriale dell'Europa orientale sono state attaccate da un attore di minacce che utilizzava impianti avanzati e nuovi malware. I servizi di archiviazione dei dati basati su cloud sono stati utilizzati per esfiltrare i dati e quindi diffondere malware.
Kaspersky ha scoperto una serie di attacchi mirati a società industriali nell'Europa orientale volti a stabilire un canale persistente per l'esfiltrazione di dati. Questi attacchi condividevano significative somiglianze con attacchi precedentemente studiati come ExCone e DexCone; questo suggerisce il coinvolgimento di APT31, noto anche come Judgment Panda e Zirconium.
Gli attacchi hanno utilizzato impianti avanzati progettati per consentire l'accesso remoto, dimostrando la vasta conoscenza ed esperienza degli autori delle minacce nell'eludere le misure di sicurezza. Questi hanno contribuito a creare canali permanenti per l'esfiltrazione dei dati, anche da sistemi altamente sicuri
Esfiltrazione di dati tramite servizi di cloud storage
Inoltre, le tecniche di dirottamento delle DLL sono state ampiamente utilizzate, consentendo l'uso improprio di eseguibili di terze parti legittimi che sono vulnerabili al caricamento di librerie collegate dinamicamente dannose nella loro memoria. Ciò dovrebbe impedire il rilevamento durante l'esecuzione di impianti multipli nelle tre fasi di attacco.
Sono stati utilizzati servizi di archiviazione cloud come Dropbox e Yandex Disk e piattaforme temporanee di condivisione di file per esfiltrare i dati e quindi distribuire malware. Inoltre, gli attori delle minacce hanno implementato l'infrastruttura di comando e controllo (C2) su Yandex Cloud e su normali server privati virtuali (VPS) per mantenere il controllo sulle reti compromesse.
Nuove varianti del malware FourteenHi prendono di mira le aziende industriali
Gli attacchi hanno anche implementato nuove varianti del malware FourteenHi, scoperto nel 2021 durante la campagna ExCone contro le agenzie governative. Questo si è evoluto da allora; nell'ultimo anno sono apparse nuove varianti specificamente rivolte all'infrastruttura delle aziende industriali. Gli esperti di Kaspersky hanno anche scoperto il nuovo tipo di impianto malware MeatBall. Questo è un impianto backdoor che ha ampie capacità di accesso remoto.
"Non dobbiamo sottovalutare i rischi posti al settore da attacchi mirati", ha affermato Kirill Kruglov, ricercatore senior per la sicurezza presso Kaspersky ICS CERT. “Le aziende continuano a digitalizzare i propri processi e dipendono dai sistemi in rete. Le potenziali conseguenze di attacchi riusciti alle infrastrutture critiche sono significative. Questa campagna APT che abbiamo esaminato sottolinea l'importanza fondamentale di misure di sicurezza informatica complete per proteggere le infrastrutture industriali dalle minacce attuali e future".
Raccomandazioni di Kaspersky per proteggere la tecnologia operativa
- Condurre valutazioni di sicurezza periodiche dei sistemi OT per identificare ed eliminare potenziali problemi di sicurezza informatica.
- Stabilire una valutazione continua della vulnerabilità e il triage come base per un efficace processo di gestione della vulnerabilità. Le soluzioni dedicate come Kaspersky Industrial CyberSecurity forniscono un'intelligence fruibile unica che non è completamente disponibile al pubblico e può aiutare a proteggere i sistemi.
- Aggiorna tempestivamente i componenti chiave della rete OT. L'applicazione di correzioni e patch di sicurezza e l'implementazione di contromisure non appena tecnicamente possibile è fondamentale per prevenire un incidente grave.
- Utilizza una soluzione EDR come Kaspersky Endpoint Detection and Response per rilevare, indagare e porre rimedio agli incidenti in modo tempestivo.
- Condurre una formazione sulla sicurezza OT dedicata per i team di sicurezza IT e il personale OT per consentire al team di prevenire, rilevare e rispondere agli incidenti.
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/