US CISA varnar att hackare bygger Arsenal för att attackera industriella kontrollsystem

I ännu en officiell varning uppmanar amerikanska myndigheter till ökad vakenhet och ytterligare skärpningar av säkerhetsåtgärder inom kritisk infrastruktur. I en gemensam cybersäkerhetsrådgivning i mitten av april varnade ett antal amerikanska myndigheter och institutioner, inklusive FBI, NSA, Cybersecurity and Infrastructure Security Agency (CISA), och Department of Energy, återigen för att hotaktörer rustar upp för attack.

Hackare som riktar in sig på logiska kontroller

Den nya säkerhetsrådgivningen lyfte specifikt fram den potentiella faran för ett antal system, inklusive flera industriella kontrollsystem (ICS) och enheter för övervakningskontroll och datainsamling (SCDA).

Denna varning är lite mer specifik och märklig än många av de som kom före den, som var fokuserade på banksektorn eller stora viktiga leverantörsnätverk som bränsleleverantörer och livsmedelstillverkare. Den här varningen handlar dock om att hackare utvecklar verktyg som kan rikta sig mot programmerbara logiska styrenheter eller PLC:er.

Varningen pekar specifikt ut flera PLC-tillverkare som myndigheterna och myndigheterna tror kommer att riktas specifikt mot. Dessa inkluderar kontroller tillverkade av Schneider Electric och Omron Sysmac. Listan över potentiella mål inkluderar även servrar som kör Open Platform Communications Unified Architecture.

Byråerna varnar för att avancerade ihållande hotaktörer har utvecklat verktyg som kan rikta in sig på ISC- och SCDA-enheter, först skanna efter dem och senare ta kontroll. Genom att kombinera detta med möjligheten att infektera tekniska IT-stationer som kör Windows och höjer åtkomsten är de möjliga scenarierna som målas upp av cybersäkerhetsvarningen dystra.

ASRock-drivrutinbugg presenterar farligt utnyttjande

Säkerhetsvarningen går in i ytterligare detalj för att beskriva de verktyg som tros vara i händerna på hackare och APT. Dessa verktyg är förmodligen modulära och ger enkel åtkomst till virtuella konsoler, vilket gör det möjligt för hackare att använda hårdvaran. Skadlig programvara beskrivs vidare som att den tillåter "högt automatiserad" exploatering av den riktade hårdvaran.

Varningen pekar också ut en känd sårbarhet med ASRock-moderkort som påverkar en moderkortsdrivrutinsfil med namnet AsrDrv103.sys. Kodifierad under CVE-2020-15368, möjliggör sårbarheten för laterala rörelser och störningar av kritiska tjänster. Exploateringen är särskilt farlig, eftersom den tillåter exekvering av godtycklig kod ända ner till Windows kärnnivå, vilket är ett säkert sätt att kringgå nästan all säkerhetsprogramvara.