Havex: Porovnání verzí

← Přejít na předchozí porovnání Přejít na další porovnání →

Smazaný obsah Přidaný obsah

V textu

Verze z 22. 4. 2021, 15:59

Malware Havex, též známý jako Backdoor.Oldrea, je trojský kůň pro umožnění vzdáleného přístupu do systému (RAT, Remote Access Trojan) využívaný hackerskou skupinou "Energetic Bear" či "Dragonfly"^[1]. Havex byl objeven v roce 2013 a je znám jako jeden z pěti malwarů vyvinutých přesně pro průmyslové řídící systémy ICS, tedy napadající systémy operačních technologií. Mezi tento malware spadá i malware Stuxnet, BlackEnergy, Industroyer a Triton/Trisis^[2]. Skupina Energetic Bear začala malware využívat za účelem rozšíření špionážní kampaně zaměřující se na energetické systémy, letecký průmysl, farmacii i sektory zabývající se obrannými systémy. Kampaň se zaměřovala především na Spojené státy americké a Evropu^[1].

Objev

Malware Havex byl objeven bezpečnostními výzkumníky společností F-Secure a Symantec, a poté nahlášen do ICS-CERT v roce 2014^[3]. Společnost ICS-CERT zaznamenala novou kampaň zaměřující se na vybavení spadající do operačních technologií využívající hned několika metod a využívající protokol OPC pro provádění průzkumu sítě operačních technologií k výběru cíle^[1].

Popis

Malware Havex má dvě hlavní komponenty: trojského koně pro umožnění vzdáleného přístupu do systému (RAT) a řídící server pro malware (tzv. C&C server) napsaný v jazyce PHP^[4]. Havex také obsahuje skenovací modul pro OPC (Open Platform Communications) pro vyhledávání průmyslových zařízení v síti^[1]. Skenovací modul byl navržen tak, aby skenoval zařízení na portech 44818 (Ethernet/IP), 105 (trojský kůň NetRe) a 502 (protokol Modbus). Výzkumnící v SANS zjistili, že se jedná o velmi rozšířené porty pro automatizační jednotky Siemens a Rockwell. Zneužívaním protokolu OPC, Havex dokáže mapovat průmyslové systémy v okamžik, jakmile se dostane na počítač oběti. Výzkumníci též zaznamenali, že skenovací modul OPC používal pouze starší verzi standardu založené na protokolu DCOM, a tedy není kompatibilní s modernější OPC Unified Architecture (OPC UA).

Zaměření a oběti

Skupina Dragonfly využívala malware Havex ve špionážní kampani proti energetickému, leteckému, farmaceutickému, obrannému a petrochemickému průmyslu především ve Spojených státech amerických a Evropě. Bezpečnostní výzkumníci ve společnosti Dragos odhadovali, že cílem útoku bylo přes 2000 míst v těchto regionech a sektorech. Výzkumníci ve společnosti Symantec pozorovali, že se malware Havex začal soustředit na cíle v rámci energetické infrastruktury hned po kanadském obranném a leteckém sektoru. Během své práce prozkoumali výzkumníci 146 řídících serverů spojených s malwarem Havex a odhalili 88 variant tohoto malwaru.

Reference

↑ ^a ^b ^c ^d Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure. FireEye [online]. [cit. 2021-04-22]. Dostupné online. (anglicky)
↑ ICS Focused Malware (Update A) | CISA. us-cert.cisa.gov [online]. [cit. 2021-04-22]. Dostupné online.
↑ Cyber espionage campaign based on Havex RAT hit ICS/SCADA systems. Security Affairs [online]. 2014-06-25 [cit. 2021-04-22]. Dostupné online. (anglicky)
↑ ICS Focused Malware (Update A) | CISA. us-cert.cisa.gov [online]. [cit. 2021-04-22]. Dostupné online.

V tomto článku byl použit překlad textu z článku Havex na anglické Wikipedii.

[:0-1] Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure. FireEye [online]. [cit. 2021-04-22]. Dostupné online. (anglicky)

[2] ICS Focused Malware (Update A) | CISA. us-cert.cisa.gov [online]. [cit. 2021-04-22]. Dostupné online.

[3] Cyber espionage campaign based on Havex RAT hit ICS/SCADA systems. Security Affairs [online]. 2014-06-25 [cit. 2021-04-22]. Dostupné online. (anglicky)

[4] ICS Focused Malware (Update A) | CISA. us-cert.cisa.gov [online]. [cit. 2021-04-22]. Dostupné online.

[1]

[2]

[3]

[4]

@@ Řádek 1: / Řádek 1: @@
-'''Malware Havex''', též známý jako Backdoor.Oldrea, je [[trojský kůň (program)|trojský kůň]] pro umožnění [[Software pro vzdálenou plochu|vzdáleného přístupu]] do systému (RAT, [[Remote Access Trojan]]) využívaný [[hacker]]skou skupinou "[[Energetic Bear]]" či "Dragonfly". Havex byl objeven v roce 2013 a je znám jako jeden z pěti [[malware|malwarů]] vyvinutých přesně pro průmyslové řídící systémy ICS, tedy napadající systémy operačních technologií. Mezi tento malware spadá i malware [[Stuxnet]], [[BlackEnergy]], [[Industroyer]] a [[Triton (malware)|Triton/Trisis]]. Skupina [[Energetic Bear]] začala [[malware]] využívat za účelem rozšíření špionážní kampaně zaměřující se na energetické systémy, letecký průmysl, farmacii i sektory zabývající se obrannými systémy. Kampaň se zaměřovala především na Spojené státy americké a Evropu.
+'''Malware Havex''', též známý jako Backdoor.Oldrea, je [[trojský kůň (program)|trojský kůň]] pro umožnění [[Software pro vzdálenou plochu|vzdáleného přístupu]] do systému (RAT, [[Remote Access Trojan]]) využívaný [[hacker]]skou skupinou "[[Energetic Bear]]" či "Dragonfly"<ref name=":0">{{Citace elektronického periodika
+| titul = Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure
+| periodikum = FireEye
+| url = https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
+| jazyk = en
+| datum přístupu = 2021-04-22
+}}</ref>. Havex byl objeven v roce 2013 a je znám jako jeden z pěti [[malware|malwarů]] vyvinutých přesně pro průmyslové řídící systémy ICS, tedy napadající systémy operačních technologií. Mezi tento malware spadá i malware [[Stuxnet]], [[BlackEnergy]], [[Industroyer]] a [[Triton (malware)|Triton/Trisis]]<ref>{{Citace elektronického periodika
+| titul = ICS Focused Malware (Update A) {{!}} CISA
+| periodikum = us-cert.cisa.gov
+| url = https://us-cert.cisa.gov/ics/alerts/ICS-ALERT-14-176-02A
+| datum přístupu = 2021-04-22
+}}</ref>. Skupina [[Energetic Bear]] začala [[malware]] využívat za účelem rozšíření špionážní kampaně zaměřující se na energetické systémy, letecký průmysl, farmacii i sektory zabývající se obrannými systémy. Kampaň se zaměřovala především na Spojené státy americké a Evropu<ref name=":0" />.
 == Objev ==
-Malware Havex byl objeven bezpečnostními výzkumníky společností [[F-Secure]] a [[Symantec]], a poté nahlášen do [[US-CERT|ICS-CERT]] v roce 2014. Společnost [[US-CERT|ICS-CERT]] zaznamenala novou kampaň zaměřující se na vybavení spadající do operačních technologií využívající hned několika metod a využívající protokol OPC pro provádění průzkumu sítě operačních technologií k výběru cíle.
+Malware Havex byl objeven bezpečnostními výzkumníky společností [[F-Secure]] a [[Symantec]], a poté nahlášen do [[US-CERT|ICS-CERT]] v roce 2014<ref>{{Citace elektronického periodika
+| titul = Cyber espionage campaign based on Havex RAT hit ICS/SCADA systems
+| periodikum = Security Affairs
+| url = https://securityaffairs.co/wordpress/26092/cyber-crime/cyber-espionage-havex.html
+| datum vydání = 2014-06-25
+| jazyk = en-US
+| datum přístupu = 2021-04-22
+}}</ref>. Společnost [[US-CERT|ICS-CERT]] zaznamenala novou kampaň zaměřující se na vybavení spadající do operačních technologií využívající hned několika metod a využívající protokol OPC pro provádění průzkumu sítě operačních technologií k výběru cíle<ref name=":0" />.
 == Popis ==
-Malware Havex má dvě hlavní komponenty: trojského koně pro umožnění vzdáleného přístupu do systému (RAT) a [[Řídící server pro malware|řídící server pro malware (tzv. C&C server)]] napsaný v jazyce [[PHP]]. Havex také obsahuje skenovací modul pro OPC (Open Platform Communications) pro vyhledávání průmyslových zařízení v síti. Skenovací modul byl navržen tak, aby [[Skenování portů|skenoval]] zařízení na portech 44818 ([[Ethernet/IP]]), 105 (trojský kůň NetRe) a 502 (protokol [[Modbus]]). Výzkumnící v SANS zjistili, že se jedná o velmi rozšířené porty pro automatizační jednotky Siemens a Rockwell. Zneužívaním protokolu OPC, Havex dokáže mapovat průmyslové systémy v okamžik, jakmile se dostane na počítač oběti. Výzkumníci též zaznamenali, že skenovací modul OPC používal pouze starší verzi standardu založené na protokolu DCOM, a tedy není kompatibilní s modernější [[OPC Unified Architecture|OPC Unified Architecture (OPC UA)]].
+Malware Havex má dvě hlavní komponenty: trojského koně pro umožnění vzdáleného přístupu do systému (RAT) a [[Řídící server pro malware|řídící server pro malware (tzv. C&C server)]] napsaný v jazyce [[PHP]]<ref>{{Citace elektronického periodika
+| titul = ICS Focused Malware (Update A) {{!}} CISA
+| periodikum = us-cert.cisa.gov
+| url = https://us-cert.cisa.gov/ics/alerts/ICS-ALERT-14-176-02A
+| datum přístupu = 2021-04-22
+}}</ref>. Havex také obsahuje skenovací modul pro OPC (Open Platform Communications) pro vyhledávání průmyslových zařízení v síti<ref name=":0" />. Skenovací modul byl navržen tak, aby [[Skenování portů|skenoval]] zařízení na portech 44818 ([[Ethernet/IP]]), 105 (trojský kůň NetRe) a 502 (protokol [[Modbus]]). Výzkumnící v SANS zjistili, že se jedná o velmi rozšířené porty pro automatizační jednotky Siemens a Rockwell. Zneužívaním protokolu OPC, Havex dokáže mapovat průmyslové systémy v okamžik, jakmile se dostane na počítač oběti. Výzkumníci též zaznamenali, že skenovací modul OPC používal pouze starší verzi standardu založené na protokolu DCOM, a tedy není kompatibilní s modernější [[OPC Unified Architecture|OPC Unified Architecture (OPC UA)]].
 == Zaměření a oběti ==
@@ Řádek 12: / Řádek 35: @@
 == Reference ==
+<references />
-# https://www.cyber.nj.gov/threat-profiles/ics-malware-variants/havex
-# https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
+{{Překlad|en|Havex|1017996789}}
-# https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-176-02A
-# https://securityaffairs.co/wordpress/26092/cyber-crime/cyber-espionage-havex.html
-# https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/Dragonfly_Threat_Against_Western_Energy_Suppliers.pdf
 [[Kategorie:Malware]]