CISA США предупреждает, что хакеры строят арсенал для атак на промышленные системы управления
В еще одном официальном предупреждении власти США призывают к повышенной бдительности и дальнейшему ужесточению мер безопасности внутри объектов критической инфраструктуры. В середине апреля в совместном бюллетене по кибербезопасности ряд органов власти и учреждений США, включая ФБР, АНБ, Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Министерство энергетики, еще раз предупредили, что злоумышленники готовятся к атаке.
Хакеры атакуют логические контроллеры
В новом бюллетене по безопасности особо подчеркивается потенциальная опасность для ряда систем, в том числе нескольких промышленных систем управления (ICS) и устройств диспетчерского управления и сбора данных (SCDA).
Это предупреждение немного более конкретное и своеобразное, чем многие из предыдущих, которые были сосредоточены на банковском секторе или крупных сетях поставщиков, таких как поставщики топлива и производители продуктов питания. Однако это предупреждение касается хакеров, разрабатывающих инструменты, которые могут быть нацелены на программируемые логические контроллеры или ПЛК.
В предупреждении конкретно указаны несколько производителей ПЛК, которые, по мнению агентств и властей, будут конкретно атакованы. К ним относятся контроллеры производства Schneider Electric и Omron Sysmac. В список потенциальных целей также входят серверы с унифицированной архитектурой Open Platform Communications.
Агентства предупреждают, что продвинутые субъекты постоянных угроз разработали инструменты, которые могут нацеливаться на устройства ISC и SCDA, сначала сканируя их, а затем захватывая контроль. В сочетании с возможностью заразить инженерные ИТ-станции, работающие под управлением Windows, и повысить доступ, возможные сценарии, описываемые предупреждением о кибербезопасности, выглядят мрачно.
Ошибка драйвера ASRock представляет собой опасный эксплойт
Предупреждение системы безопасности более подробно описывает инструменты, которые, как предполагается, находятся в руках хакеров и APT. Эти инструменты предположительно являются модульными и обеспечивают простой доступ к виртуальной консоли, позволяя хакерам взаимодействовать с оборудованием. Кроме того, вредоносная программа описывается как позволяющая «высокоавтоматизированную» эксплуатацию целевого оборудования.
В предупреждении также указывается известная уязвимость материнских плат ASRock, затрагивающая файл драйвера материнской платы с именем AsrDrv103.sys. Уязвимость, кодифицированная как CVE-2020-15368, допускает горизонтальное перемещение и нарушение работы критически важных служб. Эксплойт особенно опасен, поскольку позволяет выполнять произвольный код вплоть до уровня ядра Windows, что является верным способом обойти почти все программы безопасности.