Havex: Porovnání verzí
Počáteční verze článku značka: editace z Vizuálního editoru |
m přidána Kategorie:Malware za použití HotCat |
||
| Řádek 17: | Řádek 17: | ||
# https://securityaffairs.co/wordpress/26092/cyber-crime/cyber-espionage-havex.html |
# https://securityaffairs.co/wordpress/26092/cyber-crime/cyber-espionage-havex.html |
||
# https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/Dragonfly_Threat_Against_Western_Energy_Suppliers.pdf |
# https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/Dragonfly_Threat_Against_Western_Energy_Suppliers.pdf |
||
[[Kategorie:Malware]] |
|||
Verze z 11. 4. 2021, 21:17
Malware Havex, též známý jako Backdoor.Oldrea, je trojský kůň pro umožnění vzdálené přístupu do systému (RAT, Remote Access Trojan) využívaný hackerskou skupinou "Energetic Bear" či "Dragonfly". Havex byl objeven v roce 2013 a je znám jako jeden z pěti malwarů vyvinutých přesně pro průmyslové řídící systémy ICS, tedy napadající systémy operačních technologií. Mezi tento malware spadá i malware Stuxnet, BlackEnergy, Industroyer a Triton/Trisis. Skupina Energetic Bear začala malware využívat za účelem rozšíření špionážní kampaně zaměřující se na energetické systémy, letecký průmysl, farmacii i sektory zabývající se obrannými systémy. Kampaň se zaměřovala především na Spojené státy americké a Evropu.
Objev
Malware Havex byl objeven bezpečnostními výzkumními společností F-Secure a Symantec, a poté nahlášen do ICS-CERT v roce 2014. Společnost ICS-CERT zaznamenala novou kampaň zaměřující se na vybavení spadající do operačních technologií využívající hned několika metod a využívající protokol OPC pro provádění průzkumu sítě operačních technologií k výběru cíle.
Popis
Malware Havex má dvě hlavní komponenty: trojského koně pro umožnění vzdáleného přístupu do systému (RAT) a řídící server pro malware (tzv. C&C server) napsaný v jazyce PHP. Havex také obsahuje skenovací modul pro OPC (Open Platform Communications) pro vyhledávání průmyslových zařízení v síti. Skenovací modul byl navržen tak, aby skenoval zařízení na portech 44818 (Ethernet/IP), 105 (trojský kůň NetRe) a 502 (protokol Modbus). Výzkumnící v SANS zjistili, že se jedná o velmi rozšířené porty pro automatizační jednotky Siemens a Rockwell. Zneužívaním protokolu OPC, Havex dokáže mapovat průmyslové systémy v okamžik, jakmile se dostane na počítač oběti. Výzkumníci též zaznamenali, že skenovací modul OPC používal pouze starší verzi standardu založené na protokolu DCOM, a tedy není kompatibilní s modernější OPC Unified Architecture (OPC UA).
Zaměření a oběti
Skupina Dragonfly využívala malware Havex ve špionážní kampani proti energetickému, leteckému, farmaceutickému, obrannému a petrochemickému průmyslu především ve Spojených státech amerických a Evropě. Bezpečnostní výzkumníci ve společnosti Dragos odhadovali, že cílem útoku bylo přes 2000 míst v těchto regionech a sektorech. Výzkumními ve společnosti Symantec pozorovali, že se malware Havex začal soustředit na cíle v rámci energetické infrastruktury hned po kanadském obranném a leteckém sektoru. Během své práce prozkoumali výzkumnící 146 řídících serverů spojených s malwarem Havex a odhalili 88 variant tohoto malwaru.
Reference
- https://www.cyber.nj.gov/threat-profiles/ics-malware-variants/havex
- https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
- https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-176-02A
- https://securityaffairs.co/wordpress/26092/cyber-crime/cyber-espionage-havex.html
- https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/Dragonfly_Threat_Against_Western_Energy_Suppliers.pdf