Il report ICS CERT di Kaspersky ha pubblicato la seconda parte della ricerca, relativa a un malware di secondo livello che sostituisce gli impianti di primo livello utilizzati per l’accesso da remoto e la raccolta di dati nei cyberattacchi nell’Europa dell’Est. Questo tool avanzato estrae i dati dai sistemi con protezione air-gapped, aprendo la strada allo sviluppo di strumenti di terza fase che raccolgono e trasmettono i dati raccolti.
La ricerca ha identificato due tipi specifici di impianti per la seconda fase dell’attacco, ovvero l’estrazione dei dati dai sistemi infetti. Uno dei modelli di impianto sembra essere un sofisticato malware modulare, volto a tracciare il profilo delle unità rimovibili e a contaminarle con un worm per esfiltrare i dati da reti isolate, o air-gapped, di organizzazioni industriali nell’Europa orientale. L’altro tipo di impianto è progettato per rubare i dati da un computer locale e inviarli a Dropbox con l’aiuto degli impianti successivi.
Il malware progettato appositamente per esfiltrare i dati dai sistemi air-gapped infettando le unità rimovibili è composto da almeno tre moduli, ciascuno responsabile di compiti diversi, come la profilazione e la gestione delle unità rimovibili, l’acquisizione di schermate e l’installazione di malware di seconda fase sulle unità appena collegate.
Nel corso dell’indagine, i ricercatori di Kaspersky hanno osservato gli sforzi dei criminali informatici per eludere il rilevamento e l’analisi. Hanno ottenuto questo risultato nascondendo il payload in forma crittografata all’interno di file di dati binari separati e incorporando il codice dannoso nella memoria di applicazioni legittime attraverso il dirottamento di DLL e una catena di iniezioni di memoria.
“Gli sforzi dell’attore della minaccia per offuscare le proprie azioni attraverso payload criptati, memory injection e DLL hijacking potrebbero sembrare sottolineare la complessità delle sue tattiche. Sebbene l’esfiltrazione di dati da reti air-gapped sia una strategia ricorrente adottata da molte APT e campagne di cyber-spionaggio mirate, questa volta è stata progettata e implementata in modo unico. Con il proseguire delle ricerche, Kaspersky continua a impegnarsi per la protezione contro i cyberattacchi mirati e a collaborare con la comunità di cybersecurity per diffondere informazioni utili”, ha commentato Kirill Kruglov, Senior Security Researcher di Kaspersky ICS CERT.
Per proteggere i computer OT dalle minacce informatiche, gli esperti di Kaspersky consigliano di:
· Condurre regolari valutazioni di sicurezza dei sistemi OT per identificare ed eliminare possibili problemi di cybersecurity.
· Impostare valutazioni e classificazioni continue delle minacce come base di partenza per un processo di gestione efficace delle vulnerabilità. Soluzioni specializzate, come Kaspersky Industrial Cybersecurity, possono essere un aiuto utile e una fonte di informazioni uniche e fruibili, non disponibili pubblicamente.
· Eseguire aggiornamenti tempestivi per i componenti chiave della rete OT aziendale, applicare correzioni e patch di sicurezza o implementare misure di compensazione sono fondamentali per evitare gravi incidenti, che potrebbe causare ingenti danni economici a causa dell’interruzione del processo produttivo. · Utilizzare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento tempestivo di minacce avanzate, l’analisi e la risoluzione degli incidenti.
· Migliorare la risposta a nuove tecniche malevole avanzate costruendo e rafforzando le competenze dei team in materia di prevenzione, rilevamento e risposta agli incidenti. Corsi di formazione dedicati alla sicurezza OT per i responsabili della sicurezza IT e il personale OT sono una delle misure chiave per raggiungere questo obiettivo.