It-säkerhet

It-säkerhet

Sandworm och SCADA Connection

It SäkerhetsnyheterSkapad av J. Halex sön, oktober 19, 2014 13:50:18

För några dagar sedan en rapport till Sandworm laget publicerades. Efter forska den relaterade Sandworm med malware och de domäner som Trend Micros expertgrupp insåg snabbt att denna grupp troligen kommer att ta på SCADA fokuserade riktade offer som använder CIMPLICITY HMI-lösning från GE Intelligent Plattforms.

Cyberbrottslingar använder .cim- och .bcl filer som angreppsvägar - både filtyper som används av CIMPLICITY mjukvaran. Ytterligare bevis för detta antagande är att de skadliga filerna butiker i CIMPLICITY installationskatalogen för offrets dator genom att använda miljövariabeln %% CIMPATH.

CIMPLICITY är ett program svit som används i samband med SCADA-system. En nyckelkomponent i alla SCADA system är HMI (Human Machine Interface), en typ av operatör konsol för övervakning och kontroll av anordningar i en industriell miljö. Dessa enheter kan vara ansvariga för kontroll och automationssystem för säkerhetsverksamheten. Figur 2 visar ett exempel på där HMI kan hittas i ett kraftverk. Dessutom HMI i företagets nätverk, som ansvarar för design, utveckling och testning, vara närvarande.

För närvarande CIMPLICITY används som en attack vector, men forskarna fann inga bevis för att detta malware har manipulerat en faktisk SCADA-system eller relaterade data. Eftersom HMI kan hittas både i företagens och kontrollnätverk, skulle denna attack kan användas för att antingen göra en nätverkssegment, eller att byta från företagens för nätverksstyrning.

Vid närmare granskning av rapporten till Sandworm laget det föll en del av C2S. En av de mest slående var 94 [.] 185 [.] 85 [.] 122: a Forskarna säkerhets kunde skapa en fil som heter config.bak (SHA1 hash: c931be9cd2c0bd896ebe98c9304fea9e) hitta. Det var en CimEdit / CimView fil, ett objektorienterat fil för hantering av SCADA-enheter i GE: s Cimplicity SCADA mjukvara.

Ytterligare detaljer om bevis finns intresserade:

http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/

Källa : Trendmicro

  • Kommentarer(0)//itsakerhetsinformation.it-losningar-och-it-sakerhet.se/#post124