Amerykańska CISA ostrzega, że hakerzy budują arsenał, aby atakować przemysłowe systemy sterowania

W kolejnym oficjalnym ostrzeżeniu władze USA wzywają do zwiększonej czujności i dalszego zaostrzenia środków bezpieczeństwa wewnątrz infrastruktury krytycznej. We wspólnym doradztwie dotyczącym cyberbezpieczeństwa z połowy kwietnia szereg amerykańskich władz i instytucji, w tym FBI, NSA, Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) oraz Departament Energii, po raz kolejny ostrzegło, że cyberprzestępcy szykują się do ataku.

Hakerzy atakujący kontrolery logiczne

W nowym poradniku dotyczącym bezpieczeństwa w szczególności podkreślono potencjalne zagrożenie dla wielu systemów, w tym kilku przemysłowych systemów sterowania (ICS) oraz urządzeń nadzorujących kontrolę i akwizycję danych (SCDA).

Ten alert jest nieco bardziej konkretny i osobliwy niż wiele wcześniejszych, które koncentrowały się na sektorze bankowym lub dużych, istotnych sieciach dostawców, takich jak dostawcy paliw i producenci żywności. Ostrzeżenie to dotyczy jednak hakerów opracowujących narzędzia, które mogą atakować programowalne sterowniki logiczne lub sterowniki PLC.

W ostrzeżeniu wyszczególniono kilku producentów PLC, co do których agencje i władze uważają, że będą przedmiotem szczególnego zainteresowania. Należą do nich sterowniki firmy Schneider Electric i Omron Sysmac. Lista potencjalnych celów obejmuje również serwery z ujednoliconą architekturą Open Platform Communications.

Agencje ostrzegają, że zaawansowani utrwalający się cyberprzestępcy opracowali narzędzia, które mogą atakować urządzenia ISC i SCDA, najpierw je skanując, a następnie przejmując kontrolę. Łącząc to z możliwością infekowania inżynieryjnych stacji IT z systemem Windows i podwyższenia poziomu dostępu, możliwe scenariusze nakreślone przez alert cyberbezpieczeństwa są ponure.

Błąd sterownika ASRock przedstawia niebezpieczny exploit

Alert bezpieczeństwa zawiera więcej szczegółów, aby opisać narzędzia, które, jak się uważa, znajdują się w rękach hakerów i APTów. Narzędzia te są rzekomo modułowe i zapewniają łatwy dostęp do konsoli wirtualnej, umożliwiając hakerom komunikowanie się ze sprzętem. Złośliwe oprogramowanie jest dalej opisane jako umożliwiające „wysoce zautomatyzowaną” eksploatację zaatakowanego sprzętu.

Alert wskazuje również znaną lukę w zabezpieczeniach płyt głównych ASRock, która dotyczy pliku sterownika płyty głównej o nazwie AsrDrv103.sys. Zakodowana w CVE-2020-15368 luka pozwala na boczne przemieszczanie się i zakłócanie krytycznych usług. Exploit jest szczególnie niebezpieczny, ponieważ umożliwia wykonanie dowolnego kodu aż do poziomu jądra Windows, co jest niezawodnym sposobem na ominięcie prawie każdego oprogramowania zabezpieczającego.