Unternehmen aus dem Industriesektor in Osteuropa wurden von einem Bedrohungsakteur mit fortgeschrittenen Implantaten und neuartiger Malware angegriffen. Cloud-basierte Datenspeicherdienste wurden genutzt, um Daten zu exfiltrieren und anschließend Malware zu verbreiten.
Kaspersky hat eine Reihe zielgerichteter Angriffe auf Industrieunternehmen in Osteuropa entdeckt, deren Ziel es war, einen dauerhaften Kanal für die Datenexfiltration einzurichten. Diese Attacken wiesen erhebliche Ähnlichkeiten mit zuvor untersuchten Angriffen wie ExCone und DexCone auf; dies lässt auf eine Beteiligung von APT31, auch bekannt als Judgement Panda und Zirconium, schließen.
Bei den Angriffen kamen fortschrittliche Implantate zum Einsatz, die den Fernzugriff ermöglichen sollten, und das umfassende Wissen und die Erfahrung der Bedrohungsakteure bei der Umgehung von Sicherheitsmaßnahmen verdeutlichen. Diese verhalfen zur Einrichtung dauerhafter Kanäle für die Datenexfiltration – auch aus hochsicheren Systemen hinaus
Exfiltration der Daten durch Cloud-Speicherdienste
Zudem wurden extensiv DLL-Hijacking-Techniken eingesetzt, die den Missbrauch legitimer ausführbarer Dateien von Drittanbietern ermöglichten, die anfällig dafür sind, schädliche dynamisch verknüpfte Bibliotheken in ihren Speicher zu laden. Damit sollte einer Erkennung während der Ausführung mehrerer Implantate in den drei Angriffsphasen vorgebeugt werden.
Um die Daten zu exfiltrieren und anschließend Malware zu verbreiten, wurden Cloud-Speicherdienste wie Dropbox und Yandex Disk sowie temporäre File-Sharing-Plattformen verwendet. Weiterhin stellten die Bedrohungsakteure eine Command-and-Control-Infrastruktur (C2) in der Yandex Cloud sowie auf regulären virtuellen privaten Servern (VPS) bereit, um die Kontrolle über kompromittierte Netzwerke zu behalten.
Neue Varianten der Malware FourteenHi zielen auf Industrieunternehmen
Zudem wurden im Zuge der Angriffe neue Varianten der Malware FourteenHi implementiert, die bereits im Jahr 2021 während der gegen Regierungsbehörden gerichteten ExCone-Kampagne entdeckt wurde. Diese hat sich seitdem weiterentwickelt; im vergangenen Jahr tauchten neue Varianten auf, die speziell auf die Infrastruktur von Industrieunternehmen abzielen. Außerdem fanden die Experten von Kaspersky das neuartige Malware-Implantat MeatBall. Dabei handelt es sich um ein Backdoor-Implantat, das über umfangreiche Fernzugriffsmöglichkeiten verfügt.
„Wir dürfen die Risiken, denen die Industrie durch zielgerichtete Angriffe ausgesetzt ist, nicht unterschätzen“, so Kirill Kruglov, Senior Security Researcher bei Kaspersky ICS CERT. „Unternehmen digitalisieren ihre Prozesse weiter und sind auf vernetzte Systeme angewiesen. Die potenziellen Folgen erfolgreicher Angriffe auf kritische Infrastrukturen sind bedeutend. Diese von uns untersuchte APT-Kampagne unterstreicht die entscheidende Bedeutung umfassender Cybersicherheitsmaßnahmen, um industrielle Infrastrukturen vor aktuellen und zukünftigen Bedrohungen zu schützen.“
Kaspersky-Empfehlungen zum Schutz von Operational Technology
- Regelmäßige Sicherheitsbewertungen der OT-Systeme durchführen, um mögliche Cyber-Sicherheitsprobleme zu identifizieren und zu beseitigen.
- Eine kontinuierliche Schwachstellenbewertung und -triage als Grundlage für einen effektiven Schwachstellenmanagementprozess etablieren. Dedizierte Lösungen wie Kaspersky Industrial CyberSecurity liefern einzigartige verwertbare Informationen, die nicht vollständig öffentlich verfügbar sind und beim Schutz der Systeme unterstützen können.
- Zeitnah Updates für die Schlüsselkomponenten des OT-Netzwerks durchführen. Denn das Einspielen von Sicherheitsfixes und -patches sowie die Implementierung von Kompensationsmaßnahmen, sobald dies technisch möglich ist, ist von entscheidender Bedeutung, um einen schwerwiegenden Vorfall zu verhindern.
- Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response zur rechtzeitigen Erkennung, Untersuchung und Behebung von Vorfällen verwenden.
- Spezielle OT-Sicherheitsschulungen für IT-Sicherheitsteams und OT-Personal durchführen, damit das Team Vorfälle verbeugen, erkennen und darauf reagieren kann.
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/