Um relatório recente da Kaspersky sobre ciberataques dirigidos especificamente ao setor industrial revela o modus operandis dos grupos especializados que operam nesta área. Indústrias de manufatura e sistemas de controlo industrial (ICS) e integração foram particularmente afetadas, o que destaca a necessidade urgente de um maior reforço da cibersegurança.
Durante a investigação, a Kaspersky descobriu uma série de ataques direcionados com o objetivo de estabelecer um canal permanente de roubo (exfiltração) de dados. Estas campanhas mostraram semelhanças importantes com ataques já conhecidos como ExCone e DexCone, sugerindo o envolvimento do grupo APT31, também conhecido como Judgment Panda e Zirconium.
A investigação revelou ainda o uso de recursos avançados concebidos para acesso remoto, mostrando o amplo conhecimento e experiência dos grupos para contornar as medidas de segurança. Estas ferramentas possibilitaram o estabelecimento de canais contínuos para violações de dados, inclusive de sistemas extremamente seguros.
É importante observar que mais uma vez foram usadas técnicas de sequestro de DLL (ou seja, uso indevido de programas legítimos com vulnerabilidades para carregar DLLs maliciosas na memória) para tentar evitar a deteção precoce do ataque.
Serviços de armazenamento de dados na cloud, como o Dropbox e Yandex Disk, bem como plataformas de partilha temporário de ficheiros, foram usados para roubar dados e implantar malware. Também foi instalada uma infraestrutura de comando e controlo (C2) no Yandex Cloud, bem como em servidores privados virtuais (VPS) regulares para manter o controlo das redes comprometidas.
Nestes ataques, foram implantadas novas variantes do malware FourteenHi. Originalmente descoberta em 2021 durante a campanha ExCone, que visava entidades governamentais, esta família de malware evoluiu, com novas variantes a surgir em 2022, para atingir especificamente a infraestrutura de organizações industriais.
Além disso, foi descoberto durante a investigação um novo malware chamado MeatBall, um backdoor com amplas capacidades de acesso remoto.
"Não podemos subestimar os riscos significativos que os ataques direcionados representam para a indústria. À medida que as organizações continuam a digitalizar as suas operações e dependem de sistemas interligados, são inegáveis as possíveis consequências de ataques bem-sucedidos a infraestruturas críticas. Esta análise vem sublinhar a importância fundamental da implementação de medidas resilientes de cibersegurança para proteger as infraestruturas industriais contra ameaças existentes e futuras", sublinha Kirill Kruglov, investigador sénior de segurança da ICS CERT da Kaspersky.
Para ler o relatório completo sobre as principais conclusões desta análise, visite o site da ICS CERT.
Nenhum comentário
Seja o primeiro!