US CISA advarer om at hackere bygger Arsenal for å angripe industrielle kontrollsystemer

I nok en offisiell advarsel oppfordrer amerikanske myndigheter til økt årvåkenhet og ytterligere skjerping av sikkerhetstiltakene inne i kritisk infrastruktur. I en felles cybersikkerhetsrådgivning i midten av april advarte en rekke amerikanske myndigheter og institusjoner, inkludert FBI, NSA, Cybersecurity and Infrastructure Security Agency (CISA), og Department of Energy, nok en gang om at trusselaktører forbereder seg på angrep.

Hackere som retter seg mot logiske kontrollere

Den nye sikkerhetsrådgivningen fremhevet spesifikt den potensielle faren for en rekke systemer, inkludert flere industrielle kontrollsystemer (ICS) og enheter for tilsynskontroll og datainnsamling (SCDA).

Dette varselet er litt mer spesifikt og særegent enn mange av de som kom før det, som var fokusert på banksektoren eller store, viktige leverandørnettverk som drivstoffleverandører og matprodusenter. Denne advarselen handler imidlertid om hackere som utvikler verktøy som kan målrettes mot programmerbare logiske kontrollere eller PLS-er.

Varslet trekker spesifikt ut flere PLS-produsenter som byråene og myndighetene mener vil bli spesifikt målrettet. Disse inkluderer kontrollere produsert av Schneider Electric og Omron Sysmac. Listen over potensielle mål inkluderer også servere som kjører Open Platform Communications Unified Architecture.

Byråene advarer om at avanserte vedvarende trusselaktører har utviklet verktøy som kan målrette mot ISC- og SCDA-enheter, først skanne etter dem og senere ta kontroll. Ved å kombinere dette med muligheten til å infisere tekniske IT-stasjoner som kjører Windows og øke tilgangen, er de mulige scenariene malt av cybersikkerhetsvarslet dystre.

ASRock driver bug presenterer farlig utnyttelse

Sikkerhetsvarselet går i flere detaljer for å beskrive verktøyene som antas å være i hendene på hackere og APT-er. Disse verktøyene er visstnok modulære og gir enkel tilgang til virtuelle konsoller, slik at hackere kan kommunisere med maskinvaren. Skadevaren beskrives videre som å tillate "svært automatisert" utnyttelse av den målrettede maskinvaren.

Varselet trekker også frem en kjent sårbarhet med ASRock-hovedkort som påvirker en hovedkortdriverfil kalt AsrDrv103.sys. Kodifisert under CVE-2020-15368, gir sårbarheten mulighet for sideveis bevegelse og forstyrrelse av kritiske tjenester. Utnyttelsen er spesielt farlig, siden den tillater kjøring av vilkårlig kode helt ned til Windows-kjernenivået, som er en sikker måte å omgå nesten all sikkerhetsprogramvare.