Industrieunternehmen in Osteuropa betroffen:
- Daten wurden aus Dropbox und Yandex Disk exfiltriert
- Neues Malware-Implantat ermöglichte Fernzugriff
- Vermutlich Bedrohungsakteur APT31 an Angriffen beteiligt
Unternehmen aus dem Industriesektor in Osteuropa wurden von einem Bedrohungsakteur mit fortgeschrittenen Implantaten und neuartiger Malware angegriffen. Der Akteur hinter den Angriffen wendete hierfür fortschrittliche Taktiken, Techniken und Verfahren (TTPs) an und hatte vor allem Unternehmen aus den Bereichen der Fertigung sowie der Entwicklung und Integration industrieller Kontrollsysteme (ICS) im Fokus. Cloud-basierte Datenspeicherdienste wie Dropbox und Yandex Disk sowie temporäre File-Sharing-Plattformen wurden genutzt, um Daten zu exfiltrieren und anschließend Malware zu verbreiten. Dies geht aus einer aktuellen Analyse des Kaspersky ICS CERT hervor.
Kaspersky hat eine Reihe zielgerichteter Angriffe auf Industrieunternehmen in Osteuropa entdeckt, deren Ziel es war, einen dauerhaften Kanal für die Datenexfiltration einzurichten. Diese Attacken wiesen erhebliche Ähnlichkeiten mit zuvor untersuchten Angriffen wie ExCone und DexCone auf; dies lässt auf eine Beteiligung von APT31, auch bekannt als Judgement Panda und Zirconium, schließen.
Bei den Angriffen kamen fortschrittliche Implantate zum Einsatz, die den Fernzugriff ermöglichen sollten, und das umfassende Wissen und die Erfahrung der Bedrohungsakteure bei der Umgehung von Sicherheitsmaßnahmen verdeutlichen. Diese verhalfen zur Einrichtung dauerhafter Kanäle für die Datenexfiltration – auch aus hochsicheren Systemen hinaus. Zudem wurden extensiv DLL-Hijacking-Techniken eingesetzt, die den Missbrauch legitimer ausführbarer Dateien von Drittanbietern ermöglichten, die anfällig dafür sind, schädliche dynamisch verknüpfte Bibliotheken in ihren Speicher zu laden. Damit sollte einer Erkennung während der Ausführung mehrerer Implantate in den drei Angriffsphasen vorgebeugt werden.
Um die Daten zu exfiltrieren und anschließend Malware zu verbreiten, wurden Cloud-Speicherdienste wie Dropbox und Yandex Disk sowie temporäre File-Sharing-Plattformen verwendet. Weiterhin stellten die Bedrohungsakteure eine Command-and-Control-Infrastruktur (C2) in der Yandex Cloud sowie auf regulären virtuellen privaten Servern (VPS) bereit, um die Kontrolle über kompromittierte Netzwerke zu behalten.
Neue Varianten der Malware FourteenHi zielen auf Industrieunternehmen
Zudem wurden im Zuge der Angriffe neue Varianten der Malware FourteenHi implementiert, die bereits im Jahr 2021 während der gegen Regierungsbehörden gerichteten ExCone-Kampagne [2] entdeckt wurde. Diese hat sich seitdem weiterentwickelt; im vergangenen Jahr tauchten neue Varianten auf, die speziell auf die Infrastruktur von Industrieunternehmen abzielen. Außerdem fanden die Experten von Kaspersky das neuartige Malware-Implantat MeatBall. Dabei handelt es sich um ein Backdoor-Implantat, das über umfangreiche Fernzugriffsmöglichkeiten verfügt.
„Wir dürfen die Risiken, denen die Industrie durch zielgerichtete Angriffe ausgesetzt ist, nicht unterschätzen“, so Kirill Kruglov, Senior Security Researcher bei Kaspersky ICS CERT. „Unternehmen digitalisieren ihre Prozesse weiter und sind auf vernetzte Systeme angewiesen. Die potenziellen Folgen erfolgreicher Angriffe auf kritische Infrastrukturen sind bedeutend. Diese von uns untersuchte APT-Kampagne unterstreicht die entscheidende Bedeutung umfassender Cybersicherheitsmaßnahmen, um industrielle Infrastrukturen vor aktuellen und zukünftigen Bedrohungen zu schützen.“
Kaspersky-Empfehlungen zum Schutz von Operational Technology
- Regelmäßige Sicherheitsbewertungen der OT-Systeme durchführen, um mögliche Cyber-Sicherheitsprobleme zu identifizieren und zu beseitigen.
- Eine kontinuierliche Schwachstellenbewertung und -triage als Grundlage für einen effektiven Schwachstellenmanagementprozess etablieren. Dedizierte Lösungen wie Kaspersky Industrial CyberSecurity [3] liefern einzigartige verwertbare Informationen, die nicht vollständig öffentlich verfügbar sind und beim Schutz der Systeme unterstützen können.
- Zeitnah Updates für die Schlüsselkomponenten des OT-Netzwerks durchführen. Denn das Einspielen von Sicherheitsfixes und -patches sowie die Implementierung von Kompensationsmaßnahmen, sobald dies technisch möglich ist, ist von entscheidender Bedeutung, um einen schwerwiegenden Vorfall zu verhindern.
- Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response [4] zur rechtzeitigen Erkennung, Untersuchung und Behebung von Vorfällen verwenden.
- Spezielle OT-Sicherheitsschulungen für IT-Sicherheitsteams und OT-Personal durchführen, damit das Team Vorfälle verbeugen, erkennen und darauf reagieren kann.