JAV CISA perspėja, kad įsilaužėliai kuria arsenalą, kad galėtų atakuoti pramonės valdymo sistemas

Dar vienu oficialiu įspėjimu JAV valdžios institucijos ragina būti budriems ir toliau griežtinti saugumo priemones ypatingos svarbos infrastruktūros objektuose. Balandžio viduryje paskelbtame bendrame kibernetinio saugumo patarime daugelis JAV valdžios institucijų ir institucijų, įskaitant FTB, NSA, Kibernetinio saugumo ir infrastruktūros saugumo agentūrą (CISA) ir Energetikos departamentą, dar kartą perspėjo, kad grėsmės veikėjai ruošiasi atakai.

Įsilaužėliai, taikantys į loginius valdiklius

Naujasis saugumo patarimas konkrečiai pabrėžė galimą pavojų daugeliui sistemų, įskaitant keletą pramonės valdymo sistemų (ICS) ir priežiūros kontrolės ir duomenų gavimo (SCDA) įrenginius.

Šis įspėjimas yra šiek tiek konkretesnis ir savotiškesnis nei daugelis prieš tai buvusių įspėjimų, kurie buvo nukreipti į bankų sektorių arba didelius esminius tiekėjų tinklus, tokius kaip degalų tiekėjai ir maisto gamintojai. Tačiau šis įspėjimas yra apie įsilaužėlius, kuriančius įrankius, kurie gali būti nukreipti į programuojamus loginius valdiklius arba PLC.

Perspėjime konkrečiai išskiriami keli PLC gamintojai, į kuriuos agentūros ir valdžios institucijos mano, kad bus konkrečiai nukreipti. Tai apima „Schneider Electric“ ir „Omron Sysmac“ gaminamus valdiklius. Į galimų taikinių sąrašą taip pat įtraukti serveriai, kuriuose veikia atviros platformos komunikacijos vieningoji architektūra.

Agentūros perspėja, kad pažangūs nuolatinės grėsmės veikėjai sukūrė įrankius, kurie gali nukreipti į ISC ir SCDA įrenginius, pirmiausia juos nuskaitydami ir vėliau perimdami valdymą. Sujungus tai su galimybe užkrėsti inžinerines IT stotis, kuriose veikia Windows ir padidina prieigą, galimi kibernetinio saugumo įspėjimo scenarijai yra niūrūs.

ASRock vairuotojo klaida yra pavojingas išnaudojimas

Saugos įspėjimas išsamiau apibūdina įrankius, kurie, kaip manoma, yra įsilaužėlių ir APT rankose. Manoma, kad šie įrankiai yra moduliniai ir suteikia lengvą prieigą prie virtualios konsolės, leidžiančią įsilaužėliams prisijungti prie aparatinės įrangos. Kenkėjiška programa toliau apibūdinama kaip leidžianti „labai automatizuotai“ išnaudoti tikslinę aparatinę įrangą.

Perspėjime taip pat išskiriamas žinomas ASRock pagrindinių plokščių pažeidžiamumas, turintis įtakos pagrindinės plokštės tvarkyklės failui, pavadintam AsrDrv103.sys. Kodifikuotas CVE-2020-15368, pažeidžiamumas leidžia judėti į šoną ir sutrikdyti svarbių paslaugų teikimą. Išnaudojimas yra ypač pavojingas, nes leidžia savavališkai vykdyti kodą iki pat „Windows“ branduolio lygio, o tai yra patikimas būdas apeiti beveik visą saugos programinę įrangą.