{{{sourceTextContent.title}}}

¿Una nueva era para la seguridad del ICS? La libélula introduce la ofensa profundizada

{{{sourceTextContent.subTitle}}}

El mes pasado, pusimos al día nuestro artículo sobre el malware de la libélula para anunciar los resultados de investigación de Joel Langill del Cyber de RedHat, experto principal de la seguridad del ICS de la independiente

{{{sourceTextContent.description}}}

La investigación de Joel demostró que la campaña de la libélula se centró en blancos farmacéuticas, algo que blancos del sector de energía, pues tenido divulgado previamente.

Hoy, estamos lanzando la parte B de nuestro Libro Blanco en la libélula llamada, “analizando el Malware.” En él, Joel divulga sobre el análisis detallado que él hizo de los vectores del ataque de la campaña, del malware sí mismo, del contenido del software de Trojanized creó, y de su infraestructura del comando-y-control (C2).

Si usted no es consciente de libélula, usted puede leer mi artículo anterior, que proporciona una descripción. O, sea consciente que es la razón que nos estamos centrando en él porque era el primer malware avanzado puesto que Stuxnet para tener cargas útiles que apuntan componentes del ICS.

¿Además, la libélula era una campaña técnico realizada y estratégico ejecutada que señala una nueva era de amenaza? el de la ofensa profundizada.

¿Seguridad industrial del Cyber? nueva realidad de s: Ofensa profundizada

La campaña de la libélula consistió en un arsenal diversificado de los vectores del ataque, descrito más abajo.

Además, los Web site numerosos incluidos ofensivos C2 de la libélula que fueron utilizados para entregar los módulos de programación actualizados a las computadoras infectadas.

Estos módulos de la carga útil realizaron actividades, por ejemplo:

Recogida de la información básica sobre el sistema infectado y su configuración

Recogiendo archivos ICS-relacionados de los archivos de configuración y de configuración de VPN (contraseñas incluyendo)

Detalle de todos los anfitriones de Windows en redes de área local

Preguntar los anfitriones y PLCs de Windows para los servicios OPC-relacionados

El intentar crear nuevos casos del OPC

Estando atentas comunicaciones sobre puertos del servicio del TCP se asoció comúnmente a protocolos industriales

¿Su gravamen de riesgo incluye estas fuentes de la amenaza?

La libélula utilizó un surtido ingenioso de caminos al sistema de control. Por ejemplo, los ataques de la transferencia directa de software de Trojanized demostraron cómo los vendedores confiados en de la cadena de suministro pueden ser utilizados para entregar las cargas útiles malévolas directamente a difícil alcanzar puntos finales, tales como equipo del ICS.

Interesante, el software del surtidor de Trojanized era instalable por los usuarios con cuentas non-administrative aunque el software legítimo fue bloqueado. Así, incluso las computadoras que “se han endurecido” con políticas locales seguras pueden ser infectadas.

Finalmente, otro aspecto notable de la libélula era que sus cargas útiles ganaron la instalación permanente en los ordenadores portátiles de la ingeniería y después registraron resultados del reconocimiento de los sistemas aislados del ICS para la transmisión posterior a los servidores C2 cuando el ordenador portátil fue movido. Así, los dispositivos móviles que se permiten moverse desde redes aisladas del ICS a las redes menos seguras de la oficina, pueden retransmitir la información sobre el sistema seguro a los atacantes vía el Internet.

Evidencia del final de Windows Xp del riesgo del servicio

Durante los meses últimos, hemos escrito varios artículos acerca del riesgo a los sistemas críticos de la misión debido a el final del servicio (FOE) de Windows Xp. La campaña de la libélula proporciona evidencia de este riesgo como el malware apuntó solamente las versiones de 32 bits de las transferencias directas de software del surtidor aunque otras versiones estaban disponibles.

Esto subraya la necesidad de la industria ahora de llevar la acción la base segura ICS, especialmente sistemas del SIS, con mejores prácticas profundizadas hasta la fecha de la defensa y tecnologías de seguridad industrial enfocadas.

¿Para más información sobre ocuparse de riesgo del FOE de Windows Xp, vea nuestro Libro Blanco, “final de Windows Xp del servicio? Opciones prácticas para los usos industriales.”

Eric Byres pesa adentro en la libélula Malware

¿Después de repasar la información presentó en la “parte B? Analizando el Malware,” Eric Byres comentó:

“La combinación de la estrategia profundizada de la ofensa de la libélula y del hecho de que evitara los controles de seguridad de escritorio tradicionales destaca la necesidad urgente de emparejar seguridad profundizada de la defensa en el piso de la planta. No sólo necesitamos defender los dispositivos del ICS, pero las necesidades de la industria también de considerar mejores defensas para la red del ICS.

Por ejemplo, la supervisión del tráfico desautorizado del HTTP que sale de un sistema del ICS habría sido una defensa muy eficaz contra este malware. La mayoría de los sistemas del ICS no deben comunicar a los web server en el Internet, especialmente unos con URL como “sinfulcelebs.freesexycomics.com.”

El hecho que la campaña de la libélula casi funcionó por un año sin la detección demuestra que la supervisión y el control del ICS trafican (especialmente tráfico el extranjero) sigue siendo inaceptable pobres en muchas industrias. “

{{medias[5387].title}}

{{medias[5387].description}}