US CISA advarer, at hackere bygger Arsenal for at angribe industrielle kontrolsystemer

I endnu en officiel advarsel opfordrer de amerikanske myndigheder til øget årvågenhed og en yderligere stramning af sikkerhedsforanstaltningerne i kritisk infrastruktur. I en fælles cybersikkerhedsrådgivning i midten af april advarede en række amerikanske myndigheder og institutioner, herunder FBI, NSA, Cybersecurity and Infrastructure Security Agency (CISA) og Department of Energy, endnu en gang, at trusselsaktører er ved at forberede sig på angreb.

Hackere rettet mod logiske controllere

Den nye sikkerhedsrådgivning fremhævede specifikt den potentielle fare for en række systemer, herunder adskillige industrielle kontrolsystemer (ICS) og tilsynskontrol- og dataindsamlingsenheder (SCDA).

Denne advarsel er lidt mere specifik og ejendommelig end mange af dem, der kom før den, som var fokuseret på banksektoren eller store, vigtige leverandørnetværk såsom brændstofleverandører og fødevareproducenter. Denne advarsel handler dog om hackere, der udvikler værktøjer, der kan målrette programmerbare logiske controllere eller PLC'er.

Advarslen fremhæver specifikt flere PLC-producenter, som agenturerne og myndighederne mener vil være specifikt målrettet. Disse omfatter controllere produceret af Schneider Electric og Omron Sysmac. Listen over potentielle mål inkluderer også servere, der kører Open Platform Communications Unified Architecture.

Agenturerne advarer om, at avancerede vedvarende trusselsaktører har udviklet værktøjer, der kan målrette mod ISC- og SCDA-enheder, først scanne efter dem og senere tage kontrollen. Ved at kombinere dette med evnen til at inficere tekniske it-stationer, der kører Windows og øger adgangen, er de mulige scenarier malet af cybersikkerhedsalarmen dystre.

ASRock driver bug præsenterer farlig udnyttelse

Sikkerhedsadvarslen går i flere detaljer for at beskrive de værktøjer, der menes at være i hænderne på hackere og APT'er. Disse værktøjer er angiveligt modulære og giver nem virtuel konsoladgang, hvilket giver hackere mulighed for at interface med hardwaren. Malwaren beskrives yderligere som at tillade "højt automatiseret" udnyttelse af den målrettede hardware.

Advarslen fremhæver også en kendt sårbarhed med ASRock-bundkort, der påvirker en bundkort-driverfil ved navn AsrDrv103.sys. Kodificeret under CVE-2020-15368 giver sårbarheden mulighed for sideværts bevægelse og afbrydelse af kritiske tjenester. Udnyttelsen er særlig farlig, da den tillader udførelse af vilkårlig kode helt ned til Windows-kerneniveauet, hvilket er en sikker måde at omgå næsten al sikkerhedssoftware.