Zpět na seznam aktualit     Číst komentáře (0)     Verze pro tisk

Malware Havex trojanizoval software průmyslových aplikací

Autor: danielberanek   
25.6.2014

Skupina stojící za malwarem Havex zacílila těžký průmysl a energetiku. Místo spamových kampaní napadla dodavatele obětí a trojanizovala jejich legitimní software.


Cílem útočníků se staly průmyslové kontrolní systémy. Ty zodpovídají za komplexní automatizaci od spínačů v elektrických rozvodnách po citlivé ovládací prvky v jaderných elektrárnách. Krom obyčejného cílení spamem použili zákeřnější trojanizování programů dodavatelů softwaru malwarem typu RAT (remote access trojan) – tedy trojany umožnujícími vzdálenou správu.

Vypadá to, že útočníci zneužili zranitelnosti v softwaru, na kterém jsou provozovány weby, k narušení a nahrazení instalátorů legitimního softwaru, popisují výzkumníci z F-Secure Daavid Hentunen a Antti Tikkanen. Odhalili jsme kompromitaci stránek tří dodavatelů. Instalátory na daných stránkách byly trojanizovány malwarem Havex RAT. Máme podezření, že takových případů je více, jen ještě nebyly odhaleny.

Napadené stránky patří vývojářům softwaru pro průmyslové aplikace. Dvě z napadených společností dodávají software k vzdálené kontrole v průmyslových systémech, třetí vyvíjí průmyslové kamery a odpovídající software. Sídlí v Německu, Švýcarsku a Belgii – cílové oběti v Kalifornii a v Evropě.

Hentunen a Tikkanen v příspěvku popisují, jak složité je identifikovat problém v instalátoru. Konkrétně: dynamická analýza ukázala, že napadené instalátory byly téměř totožné s obyčejnými – až na jediný soubor – mbcheck.dll, jenž je právě Havex RAT. Trojanizovaný instalátor spustí tento soubor jako část normální instalace. Uživatel má plně funkční systém a útočník backdoor k přístupu a kontrole počítače. Autoři shrnují: Trojanizování softwaru pro průmyslové kontrolní systémy a dispečerské systémy sběru a řízení dat je vysoce efektivní cestou k získání přístupu ke kontrole cílových systémů, včetně kritické infrastruktury.

 

Zdroje: F-Secure, ArsTechnica
Zdroj: http://www.f-secure.com/weblog/archives/00002718.html


Social Bookmarking

     





Hodnocení/Hlasovalo: 1/1

1  2  3  4  5    
(známkování jako ve škole)