Kapeka和Fuxnet：摧毀工業(yè)系統(tǒng)的ICS惡意軟件

針對(duì)歐洲工業(yè)控制系統(tǒng)(ICS)和操作技術(shù)(OT)環(huán)境的危險(xiǎn)惡意軟件最近先后被發(fā)現(xiàn)，“Kapeka”和“Fuxnext”是兩國(guó)之間長(zhǎng)期沖突中出現(xiàn)的最新惡意軟件例證。名為“Kapeka”的工具似乎與Sandworm有關(guān)，Sandworm是一個(gè)多產(chǎn)的俄羅斯國(guó)家支持的威脅組織，谷歌的Mandiant安全小組本周將其描述為該國(guó)在烏克蘭的主要網(wǎng)絡(luò)攻擊單位。芬蘭WithSecure的安全研究人員發(fā)現(xiàn)了2023年針對(duì)愛(ài)沙尼亞物流公司和東歐其他目標(biāo)的攻擊中的后門，并將其視為一種活躍且持續(xù)的威脅。另一種惡意軟件——被形象地稱為“Fuxnet”，是烏克蘭政府支持的威脅組織Blackjack可能在最近對(duì)Moskollector(俄羅斯一家維護(hù)著用于監(jiān)控莫斯科污水系統(tǒng)的大型傳感器網(wǎng)絡(luò)的公司)進(jìn)行的破壞性攻擊中使用的工具。攻擊者使用Fuxne 成功破壞了Moskollector網(wǎng)絡(luò)上他們聲稱的總共 1,700個(gè)(claroty的分析稱是500多個(gè))傳感器網(wǎng)關(guān)。

破壞性ICS惡意軟件

名為“Kapeka”的工具似乎與Sandworm有關(guān)，Sandworm是一個(gè)多產(chǎn)的俄羅斯國(guó)家支持的威脅組織，谷歌的Mandiant安全小組本周將其描述為該國(guó)在烏克蘭的主要網(wǎng)絡(luò)攻擊單位。芬蘭WithSecure的安全研究人員發(fā)現(xiàn)了2023年針對(duì)愛(ài)沙尼亞物流公司和東歐其他目標(biāo)的攻擊中的后門，并將其視為一種活躍且持續(xù)的威脅。芬蘭網(wǎng)絡(luò)安全公司W(wǎng)ithSecure將惡意軟件歸因于與俄羅斯有關(guān)的高級(jí)持續(xù)威脅(APT)組織，追蹤為Sandworm(又名APT44或Seashell Blizzard)。微軟正在追蹤名為KnuckleTouch的相同惡意軟件。安全研究員Mohammad Kazem Hassan Nejad表示：“該惡意軟件是一個(gè)靈活的后門，具有所有必要的功能，可以作為其運(yùn)營(yíng)者的早期工具包，并提供對(duì)受害者財(cái)產(chǎn)的長(zhǎng)期訪問(wèn)。”Kapeka配備了一個(gè)植入程序，旨在在受感染的主機(jī)上啟動(dòng)并執(zhí)行后門組件，然后自行刪除。Dropper還負(fù)責(zé)將后門持久化設(shè)置為計(jì)劃任務(wù)或自動(dòng)運(yùn)行注冊(cè)表，具體取決于進(jìn)程是否具有SYSTEM權(quán)限。

Kapeka概覽

另一種惡意軟件——被形象地稱為“Fuxnet” ——是烏克蘭政府支持的威脅組織 Blackjack 可能在最近對(duì) Moskollector 進(jìn)行的破壞性攻擊中使用的工具。Moskollector 是一家維護(hù)著用于監(jiān)控莫斯科污水系統(tǒng)的大型傳感器網(wǎng)絡(luò)的公司。攻擊者使用 Fuxnet 成功破壞了 Moskollector 網(wǎng)絡(luò)上他們聲稱的總共 1,700 個(gè)傳感器網(wǎng)關(guān)，并在此過(guò)程中禁用了連接到這些網(wǎng)關(guān)的約 87,000 個(gè)傳感器。

ICS安全公司Claroty的漏洞研究總監(jiān)Sharon Brizinov表示：“Fuxnet ICS惡意軟件的主要功能是破壞和阻止對(duì)傳感器網(wǎng)關(guān)的訪問(wèn)，并試圖破壞物理傳感器。”該公司最近調(diào)查了Blackjack的攻擊。Brizinov表示，此次攻擊的結(jié)果是，Moskollector可能必須親自接觸數(shù)千臺(tái)受影響的設(shè)備，并逐一更換它們。“為了恢復(fù) [Moskollector]監(jiān)控和操作莫斯科周圍污水系統(tǒng)的能力，他們需要采購(gòu)并重置整個(gè)系統(tǒng)?！?/span>

Kapeka和Fuxnet是俄羅斯和烏克蘭沖突造成的更廣泛網(wǎng)絡(luò)影響的例子。自2022年2月兩國(guó)之間的戰(zhàn)爭(zhēng)爆發(fā)以來(lái)，甚至早在這之前，雙方的黑客組織就開(kāi)發(fā)并使用了一系列惡意軟件工具來(lái)攻擊對(duì)方。許多工具，包括擦除器和勒索軟件，本質(zhì)上都具有破壞性或損毀性，主要針對(duì)兩國(guó)的關(guān)鍵基礎(chǔ)設(shè)施、ICS和OT環(huán)境。

但在某些情況下，涉及兩國(guó)之間長(zhǎng)期沖突引發(fā)的工具的攻擊影響了更廣泛的受害者。最值得注意的例子仍然是 NotPetya，這是Sandworm組織最初開(kāi)發(fā)用于烏克蘭的惡意軟件工具，但最終在2017年影響了全球數(shù)以萬(wàn)計(jì)的系統(tǒng)。2023年，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)和美國(guó)美國(guó)國(guó)家安全局(NSA)警告稱，名為“Inknown Chisel”的 Sandworm惡意軟件工具集對(duì)各地Android用戶構(gòu)成威脅。

Kapeka：GreyEnergy的沙蟲(chóng)替代品?

據(jù)WithSecure稱，Kapeka是一種新穎的后門，攻擊者可以將其用作早期工具包，并在受害者系統(tǒng)上實(shí)現(xiàn)長(zhǎng)期持久性。該惡意軟件包含一個(gè)釋放器組件，用于將后門釋放到目標(biāo)計(jì)算機(jī)上，然后自行刪除。WithSecure的研究員Mohammad Kazem Hassan Nejad表示：“Kapeka支持所有基本功能，使其能夠作為受害者財(cái)產(chǎn)中的靈活后門運(yùn)行?！逼涔δ馨◤拇疟P讀取文件和向磁盤寫入文件、執(zhí)行shell命令以及啟動(dòng)惡意負(fù)載和進(jìn)程(包括本地二進(jìn)制文件)?！矮@得初始訪問(wèn)權(quán)限后，Kapeka的操作員可以利用后門在受害者的計(jì)算機(jī)上執(zhí)行各種任務(wù)，例如發(fā)現(xiàn)、部署其他惡意軟件以及發(fā)起下一階段的攻擊，”Nejad說(shuō)。

據(jù)Nejad稱，WithSecure能夠找到證據(jù)，表明與Sandworm和該組織在2018年攻擊烏克蘭電網(wǎng)時(shí)使用的GreyEnergy惡意軟件有關(guān)。“我們相信Kapeka可能是Sandworm武器庫(kù)中GreyEnergy的替代品，”Nejad指出。盡管這兩個(gè)惡意軟件樣本并非源自相同的源代碼，但Kapeka和GreyEnergy之間存在一些概念重疊，就像 GreyEnergy及其前身BlackEnergy之間存在一些重疊一樣。Nejad表示：“這表明Sandworm可能會(huì)隨著時(shí)間的推移使用新工具升級(jí)其武器庫(kù)，以適應(yīng)不斷變化的威脅形勢(shì)?！?/span>

Kapeka和GreyEnergy、Prestige之間的重疊WithSecure公司的報(bào)告對(duì)Kapeka后門及其功能進(jìn)行了深入的技術(shù)分析，并分析了Kapeka與Sandworm組織之間的聯(lián)系。其目的是提高企業(yè)、政府和更廣泛的安全社區(qū)的認(rèn)識(shí)。WithSecure已向政府和精選客戶提供了報(bào)告的高級(jí)副本。除了報(bào)告之外，他們還發(fā)布了根據(jù)其研究結(jié)果開(kāi)發(fā)的幾個(gè)工件，包括基于注冊(cè)表和硬編碼的配置提取器、用于解密和模擬后門網(wǎng)絡(luò)通信的腳本，以及如預(yù)期的指標(biāo)列表妥協(xié)、YARA規(guī)則和MITRE ATT&CK映射。

Fuxnet：傳感器定向攻擊工具

與此同時(shí)，Clarity的Brizinov將Fuxnet識(shí)別為ICS惡意軟件，旨在對(duì)特定的俄羅斯制造傳感器設(shè)備造成損害。該惡意軟件旨在部署在網(wǎng)關(guān)上，用于監(jiān)控和收集物理傳感器的數(shù)據(jù)，用于火災(zāi)警報(bào)、氣體監(jiān)控、照明和類似用例。

Brizinov表示：“惡意軟件一旦部署，就會(huì)通過(guò)覆蓋NAND芯片并禁用外部遠(yuǎn)程訪問(wèn)功能來(lái)堵塞網(wǎng)關(guān)，從而阻止操作員遠(yuǎn)程控制設(shè)備?！?nbsp;

 傳感器攻擊來(lái)了!烏克蘭使用破壞性ICS惡意軟件“Fuxnet”攻擊俄羅斯基礎(chǔ)設(shè)施

Claroty.com的分析證實(shí)，Blackjack攻擊者利用這個(gè)惡意軟件，刪除了文件系統(tǒng)、目錄、禁用了遠(yuǎn)程訪問(wèn)服務(wù)、每個(gè)設(shè)備的路由服務(wù)，并重寫了閃存、破壞了NAND存儲(chǔ)芯片、UBI卷以及其他進(jìn)一步擾亂這些網(wǎng)關(guān)運(yùn)行的行為。最后造成500多個(gè)傳感器網(wǎng)關(guān)的損壞。

然后，一個(gè)單獨(dú)的模塊嘗試用無(wú)用的M-Bus流量淹沒(méi)物理傳感器本身。M-Bus是一種歐洲通信協(xié)議，用于遠(yuǎn)程讀取燃?xì)獗怼⑺?、電表和其他儀表。Brizinov表示：“Blackjack組織的ICS惡意軟件Fuxnet的主要目的之一是在獲得傳感器網(wǎng)關(guān)的訪問(wèn)權(quán)限后攻擊并摧毀物理傳感器本身?！睘榇?，Blackjack選擇通過(guò)向傳感器發(fā)送無(wú)限數(shù)量的M-Bus數(shù)據(jù)包來(lái)模糊傳感器?！皬谋举|(zhì)上講，BlackJack希望通過(guò)無(wú)休止地向傳感器發(fā)送隨機(jī) M-Bus數(shù)據(jù)包，這些數(shù)據(jù)包將使傳感器不堪重負(fù)，并可能觸發(fā)漏洞，從而損壞傳感器并將其置于無(wú)法操作的狀態(tài)，”他說(shuō)。

組織從此類攻擊中得到的主要收獲是要注意安全基礎(chǔ)知識(shí)。例如，Blackjack似乎通過(guò)濫用設(shè)備上的弱憑據(jù)獲得了對(duì)目標(biāo)傳感器網(wǎng)關(guān)的root訪問(wèn)權(quán)限。他說(shuō)，這次攻擊凸顯了為什么“維護(hù)良好的口令策略非常重要，確保設(shè)備不會(huì)共享相同的憑據(jù)或使用默認(rèn)憑據(jù)”?！安渴鹆己玫木W(wǎng)絡(luò)清理和分段也很重要，確保攻擊者無(wú)法在網(wǎng)絡(luò)內(nèi)部橫向移動(dòng)，并將其惡意軟件部署到所有邊緣設(shè)備?！?/span>

參考資源

1、https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine

2、https://thehackernews.com/2024/04/russian-apt-deploys-new-kapeka-backdoor.html

3、https://www.withsecure.com/en/whats-new/pressroom/withsecure-uncovers-kapeka-a-new-malware-with-links-to-russian-nation-state-threat-group-sandworm

4、https://claroty.com/team82/research/unpacking-the-blackjack-groups-fuxnet-malware

來(lái)源：網(wǎng)空閑話plus