{{{sourceTextContent.title}}}

Una nuova era per sicurezza del ICS? La libellula introduce l'offesa approfondita

{{{sourceTextContent.subTitle}}}

Il mese scorso, abbiamo aggiornato il nostro articolo sul malware della libellula per annunciare i risultati della ricerca da Joel Langill del Cyber di RedHat, un esperto principale in sicurezza del ICS dell'indipendente

{{{sourceTextContent.description}}}

La ricerca del Joel ha indicato che la campagna della libellula ha messo a fuoco sugli obiettivi farmaceutici, piuttosto che gli obiettivi del settore dell'energia, poichè avuto precedentemente segnalato.

Oggi, stiamo liberando la parte B Del nostro Libro Bianco sulla libellula denominata, “analizzando il Malware.„ In esso, Joel segnala sull'analisi che dettagliata ha fatto dei vettori di attacco della campagna, del malware in se, del soddisfare del software di Trojanized ha generato e della relativa infrastruttura di ordine-e-controllo (C2).

Se non siete informato della libellula, potete leggere il mio articolo più in anticipo, che prevede una descrizione. O, sia informato che il motivo che stiamo mettendo a fuoco su esso è perché era il primo malware avanzato poiché Stuxnet per avere carichi utili che designano le componenti come bersaglio del ICS.

In più, la libellula era una campagna tecnicamente compiuta e strategico eseguita che segnala una nuova era della minaccia? quello dell'offesa approfondita.

Sicurezza industriale di Cyber? nuova realtà di s: Offesa approfondita

La campagna della libellula ha consistito di un arsenale differenziato dei vettori di attacco, descritto qui sotto.

In più, Web site inclusi offensivi C2 della libellula i numerosi che sono stati usati per trasportare i moduli di software aggiornati ai calcolatori infettati.

Questi moduli del carico utile hanno svolto le attività, come:

Raccolta delle informazioni di base sul sistema infettato e sulla relativa configurazione

Raccogliendo le lime CI-relative delle lime di configurazione e di configurazione di VPN (parole d'accesso comprese)

Dettaglio di tutti gli ospiti di Windows sulle reti locali

Interrogazione gli ospiti e del PLCs di Windows per i servizi Cemento Portland comune-relativi

Tentare di generare i nuovi casi del cemento Portland comune

Aspettando di sentire le comunicazioni sugli orificii di servizio di TCP si è associato comunemente con i protocolli industriali

La vostra valutazione di rischio comprende queste fonti di minaccia?

La libellula ha usato un assortimento ingegnoso delle vie al sistema di controllo. Per esempio, gli attacchi di trasferimento dal sistema centrale verso i satelliti di software di Trojanized hanno mostrato come i fornitori di fiducia della catena di rifornimento possono essere usati per trasportare i carichi utili cattivi direttamente a difficile raggiungere i punti finali, quale l'apparecchiatura del ICS.

Interessante, il software del fornitore di Trojanized era installabile dagli utenti con i clienti non-administrative anche se il software legittimo è stato ostruito. Quindi, persino i calcolatori che “sono stati induriti„ con le politiche locali sicure possono essere infettati.

Per concludere, un'altra funzione notevole della libellula era che i relativi carichi utili hanno guadagnato l'installazione permanente sui computer portatili di ingegneria ed allora hanno registrato i risultati di ricognizione dai sistemi isolati del ICS per la trasmissione successiva agli assistenti C2 quando il computer portatile è stato spostato. Quindi, i dispositivi mobili che sono permessi muoversi dalle reti isolate del ICS verso le reti meno sicure dell'ufficio, possono trasmettere le informazioni sul sistema sicuro agli attaccanti via il Internet.

Prova della conclusione del Windows Xp del rischio di servizio

Durante gli ultimi mesi, abbiamo scritto parecchi articoli sul rischio ai sistemi critici di missione a causa della conclusione di servizio (EOS) di Windows Xp. La campagna della libellula fornisce la prova di questo rischio come il malware ha designato soltanto le versioni come bersaglio a 32 bits dei trasferimenti dal sistema centrale verso i satelliti di software del fornitore anche se altre versioni erano disponibili.

Ciò sottolinea la necessità per l'industria ora di agire al centro sicuro ICS, particolarmente sistemi di SIS, con le pratiche ottimali approfondite aggiornate della difesa e le tecnologie di sicurezza su scala industriale messe a fuoco.

Per più informazioni sull'occuparsi del rischio di EOS del Windows Xp, vedi il nostro Libro Bianco, “conclusione del Windows Xp di servizio? Opzioni pratiche per le applicazioni industriali.„

Eric Byres pesa dentro sulla libellula Malware

Dopo l'esame le informazioni hanno presentato “nella parte B? Analizzando il Malware,„ Eric Byres ha commentato:

“La combinazione di strategia approfondita di offesa della libellula e del fatto che ha aggirato i comandi da tavolino tradizionali di sicurezza evidenzia l'esigenza urgente dell'accoppiamento della sicurezza approfondita della difesa sul pavimento della pianta. Non solo dobbiamo difendere i dispositivi del ICS, ma le necessità di industria anche considerare le migliori difese per la rete del ICS.

Per esempio, controllare il traffico non autorizzato del HTTP che esce da un sistema del ICS sarebbe stato una difesa molto efficace contro questo malware. La maggior parte dei sistemi del ICS non dovrebbero comunicare ai web server sul Internet, particolarmente un con i URL come “sinfulcelebs.freesexycomics.com.„

Il fatto che la campagna della libellula ha fatto funzionare per quasi un anno senza rilevazione indica che il controllo del ICS trafficano (particolarmente traffico diretto all'estero) è ancora in modo inaccettabile poveri in molte industrie. “

{{medias[5387].title}}

{{medias[5387].description}}