Nowe ataki na infrastrukturę krytyczną, z Polską na celowniku włamywaczy

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Oct 17 16:14 [raw]

Choć w Polsce nie doświadczyliśmy jeszcze skutków wyłączenia prądu czy wysadzenia rurociągu przez komputerowych włamywaczy, to nie znaczy, że sieci dostawców usług krytycznych nie są na celowniku hakerów. Ślady kolejnej grupy znaleziono także u nas. Zdalne powodowanie szkód na terytorium wroga, bez strat własnych, a często bez ujawniania własnej tożsamości, jest bez wątpienia marzeniem niejednego stratega. Dzięki wszechobecności sieci komputerowych i coraz dalej idącej komputeryzacji procesów przemysłowych te marzenia przynajmniej w pewnym zakresie stają się rzeczywistością. Następcy znanych aktorów Gdy w grudniu 2015 zgasły światła w tysiącach ukraińskich domów, ustalono, że w ataku tym użyto oprogramowania nazwanego przez badaczy BlackEnergy. Jego ślady znajdowano również w Polsce. Po tamtym ataku BlackEnergy przestało pojawiać się z wynikach analiz ataków – tak, jakby zrezygnowano z jego dalszej eksploatacji. Znalazło jednak godnego następcę. Firma ESET opublikowała właśnie raport, w którym opisuje obserwowane od dwóch lat złośliwe oprogramowanie nazwane GreyEnergy. Zawiera ono dużo podobieństw do BlackEnergy, a grupa go używająca prawdopodobnie powiązana jest z grupą TeleBots, stojącą między innymi za atakiem NotPetya. ESET informuje, że po raz pierwszy na ślad unikatowego narzędzia GreyEnergy natrafił w grudniu 2015 w Polsce. To właśnie nasz kraj, obok Ukrainy, znajduje się na liście najczęściej spotykanych celów ataków tego oprogramowania. W przeciwieństwie do Industroyera, innego narzędzia wywodzącego się z podobnej okolicy, GreyEnergy nie posiada modułów umożliwiających interakcję z systemami sterowania przemysłowego. Analitycy z firmy ESET zauważyli jednak użycie innego niebezpiecznego modułu, służącego do niszczenia zawartości dysków ofiary w celu zatarcia śladów. Technikalia GreyEnergy dostarczany jest na dwa różne sposoby. Oprócz prostego, klasycznego spear phishingu, przestępcy czasami włamują się do aplikacji na serwerach WWW firm leżących w kręgu ich zainteresowania, a następnie wykorzystują uzyskany dostęp, by przedostać się sieci wewnętrznej ofiary. Z reguły pierwszym etapem infekcji jest oprogramowanie „GreyEnergy mini”, niewymagające uprawnień administratora i pozwalające na utrzymanie dostępu do zaatakowanej sieci. To proste narzędzie zbiera informacje o ofierze, takie jak nazwa komputera, wersja systemu operacyjnego, ustawienia językowe, nazwa użytkownika, uprawnienia użytkownika, ustawienia serwera proxy, informacje o modelu i producencie komputera, strefie czasowej, zainstalowanym oprogramowaniu typu antywirus lub firewall, lista użytkowników i domen, adres IP i lista działających procesów. Zebrane dane przekazywane są do serwera sterującego. GreyEnergy mini obsługuje tylko kilka prostych poleceń – pobieranie, uruchamianie plików, uruchamianie poleceń, upload wybranego pliku i odinstalowanie się. W kolejnym kroku przestępcy inwentaryzują sieć wewnętrzną i zbierają hasła przydatne do podniesienia uprawnień. Grupa korzysta w tym celu ze standardowych narzędzi, takich jak nmap czy Mimikatz. W kolejnym kroku w sieci instalowany jest właściwy koń trojański, GreyEnergy, wymagający uprawnień administracyjnych. Najczęściej instalowany jest on na serwerach z dużym uptimem (rzadko restartowanych) lub na stacjach roboczych używanych do sterowania procesami przemysłowymi. W jednym z przypadków badacze ESET-u odkryli próbkę głównego modułu podpisaną prawidłowym certyfikatem firmy Advantech. Certyfikat ten najprawdopodobniej został skradziony jego właścicielowi. GreyEnergy może być uruchamiany zarówno w postaci procesu obecnego jedynie w pamięci komputera (używane na serwerach, które są rzadko restartowane), jak i jako usługa w pliku DLL. Komunikacja z serwerem C&C realizowana jest za pośrednictwem wewnętrznego serwera proxy. Jedna z zainfekowanych maszyn zbiera komunikację z pozostałych stacji lub serwerów wewnątrz sieci ofiary i przesyła do serwera sterującego w internecie. W ten sposób minimalizowana jest liczba komputerów wysyłających pakiety poza sieć ofiary. W przypadku gdy firma posiada serwery WWW podłączone do sieci wewnętrznej, instalowane są na nich zapasowe tylne furtki, najczęściej w postaci prostych skryptów umożliwiających włamywaczom relatywnie prosty powrót do sieci ofiary w razie usunięcia głównej tylnej furtki. Co ciekawe, wszystkie serwery C&C przestępców są jednocześnie serwerami sieci Tor. Prawdopodobnie ma to na celu lepsze ukrycie źródła połączeń przychodzących od osób zarządzających tymi serwerami. Główny moduł regularnie sprawdza możliwość komunikacji z serwerem C&C. Jeśli określona w pliku konfiguracyjnym liczba nieudanych połączeń zostanie osiągnięta (lub minie określony w konfiguracji czas od ostatniego udanego połączenia), cały koń trojański sam usuwa się z dysku ofiary. Oprócz głównego modułu badacze odkryli także wiele modułów pomocniczych. Mogą one służyć do wstrzykiwania plików PE do procesów, zbierania informacji o zarażonym komputerze, robienia zrzutów ekranu i zapisywania naciskanych klawiszy, zbierania zapisanych haseł, tworzenia tuneli SSH czy serwerów proxy oraz zbierania haseł użytkowników systemu Windows. Podsumowanie Opisywane narzędzia używane są przez wysokiej klasy fachowców, którzy nie raz pokazali już, że zależy im na wywołaniu spektakularnych efektów. Nie należy ich zatem lekceważyć. W raporcie ESET-u znajdziecie liczne informacje o skrótach plików, adresach IP i nazwach domenowych, pod kątem których warto sprawdzić logi swoich SIEM-ów. Pamiętajcie także, że można natrafić na fałszywe trafienia, ponieważ serwery C&C były także serwerami sieci Tor. Życzymy Wam braku trafień przy wyszukiwaniu.

[chan] po_polsku
BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y

Subject Last Count
JEBAC - KURWE POLICJE Nov 20 19:13 25
Kryptowaluty Nov 20 19:06 1
JAK ROSYJSKA AGENTURA PODSYCA ANTYŻYDOWSKIE NASTROJE W POLSCE Nov 20 18:55 2
JAK SKW - OBCIAGA KUTASA. Nov 20 18:17 67
Załóżmy, że raz „Gazeta Wyborcza” napisała prawdę Nov 20 17:38 1
Deportacje Polaków w głąb Rosji oraz grabież polskich dóbr kultury. Nov 20 17:38 1
Dezentrale Plattformen zur Förderung des Links- und Rechtsterrorismus Nov 19 23:57 1
Kim jest OneAnother Nov 18 19:36 1
Służba dla Sowietów była jednoczesnym wyparciem się Rzeczypospolitej Polskiej niepodległej Nov 18 16:18 1
Sam tego chciałeś, "ArnoldB". Nov 17 19:17 3
Ostrzeżenie dla "arnoldB" Nov 17 14:40 1
Większość mediów postanowiła tych faktów nie zauważać. Nov 17 10:08 1
Ukraina nie ma większego przyjaciela niż USA Nov 17 08:18 1
Kacapy zakłócają GPS Nov 17 08:18 1
pozbawianie majątku przestępców jest najskuteczniejszym narzędziem Nov 15 19:13 1
jesteście debilami Nov 15 16:15 5
Setki milionów ludzi wołają: STALIN! STALIN! STALIN! Nov 14 19:01 1
Były szef Informacyjnej Agencji Radiowej, Mariusz Borkowski, to ruski agent. Nov 14 17:03 1
Infromacja o powiązaniach Czarneckiego z komunistycznymi służbami Nov 14 14:10 1
PiS to nie mafia, to uczciwa grupa. I dowodzą tego właśnie teraz. Nov 14 13:53 1
Nie ma takiej bzdury, która w imię równości nie zostałaby popełniona. Nov 14 13:51 1
Dziwna cisza Nov 13 17:40 19
Pomysł na zabawe - zamach terorystyczny ? Nov 13 17:22 11
[niebezpiecznik.pl] Wywiad z cyberpolicjantem. Najłatwiej wyrobić słupki waląc sprawców z OLX-a Nov 13 16:39 1
A tutejsi bajkopisarze pisali o rozhasaniu w chińskim necie... Nov 13 15:19 1
Kurwy z ONR zapraszają do Polski ruskich prowokatorów Nov 12 14:52 2
Podatek dochodowy od kryptowalut – co się zmieni w 2019 roku Nov 12 12:31 1
"Polsko, wspaniały kraju - gratulacje w 100. rocznicę niepodległości!" - napisał na Twitterze Donald Trump Nov 12 11:09 1
Krang = Adam Golański Nov 12 09:47 4
Wojska obrony cyberprzestrzeni Nov 11 16:31 4
Dlaczego zabito Litwinienkę... Nov 11 15:08 2
Moment wytrysku w cipce nastolatki Nov 10 13:58 1
milicyjna prowokacja Nov 10 10:51 3
Piotr Tymochowicz skazany za dziecięcą pornografię Nov 9 18:21 5
Były doradca polityków Piotr T. w piątek usłyszy wyrok ws dziecięcej pornografii Nov 8 22:01 9
Antyszczepionkowa histeria to robota Kremla Nov 8 21:59 6
JEBAC - KURWE POLICJE Nov 8 17:49 1
POLICJA - JEBAC KURWE Nov 8 17:37 41
Europejski Nakaz Aresztowania wobec Michnika Nov 8 15:01 1
Argumenty merytoryczne rozbiły mit, że szczepionki są szkodliwe Nov 8 15:01 1
Honeypots: Protonmail, DuckDuckGo, NordVPN Nov 7 17:12 1
Is NordVPN a Honeypot? Nov 7 17:05 1
Głosowanie Nov 4 17:59 2
Lekcja dla debili korwinowców Nov 2 18:15 1
Miało być 100 mld zł deficytu w 2018 roku. Jest 3,2 mld zł nadwyżki. Nov 2 18:15 1
Ruski agent Assange odlatuje Oct 30 16:27 1
W Polsce albo będzie stacjonować U.S. Army, albo armia rosyjska Oct 30 16:27 1
NSA używa technik psychotronicznych i paranormalnych Oct 29 16:13 5
Większość z nas jest za utworzeniem w naszym kraju stałej bazy wojsk USA Oct 28 16:26 1
USA poważnie i po partnersku traktuje Polskę Oct 28 14:55 23
-----BEGIN MYSECRET----- Oct 28 08:47 1
Udająca antysystemową ubecka partia Kukiz'15 Oct 28 07:38 1
Robimy wszystko, aby w Polsce powstał Fort Trump Oct 27 21:48 1
Ponad połowa Polaków opowiada się za utworzeniem stałej bazy wojsk amerykańskich w Polsce Oct 27 21:47 1
Frasyniuk miał rację Oct 27 11:47 5
Polsko-amerykańska współpraca wojskowa Oct 26 17:48 1
Rosja musi się wynieść z Krymu i Donbasu Oct 26 17:43 1
Zastępy trolli i osób zadaniowanych przygotowują strawę dla polskich gownojedów Oct 26 17:17 1
Latające ruskie trumny - nikt nie chce ubezpieczyć rakiet Sojuz Oct 26 17:17 1
Rosjanie winni przestępstw wojennych Oct 26 17:16 1
Pamięć Oct 24 04:21 40
Rosja narusza układ rozbrojeniowy Oct 24 04:17 1
USA będą rozbudowywać arsenał nuklearny Oct 24 04:17 1
"Katolicy" i "narodowcy" Kremla Oct 24 04:16 1