Podrobný výskum 17 škodlivých rámcov používaných na útok na siete s nedostatkami vzduchu

Len v prvej polovici roku 2020 boli odhalené štyri rôzne škodlivé rámce určené na útok na siete so vzduchovou medzerou, čím sa celkový počet takýchto sád nástrojov zvýšil na 17 a ponúkli protivníkom cestu ku kybernetickej špionáži a úniku utajovaných informácií.

„Všetky rámce sú navrhnuté tak, aby vykonávali nejakú formu špionáže, [and] všetky rámce využívali USB disky ako fyzické prenosové médium na prenos údajov do az cieľových sietí so vzduchovou medzerou,“ uviedli výskumníci spoločnosti ESET Alexis Dorais-Joncas a Facundo Muñoz v komplexnej štúdii rámcov.

Air-gapping je bezpečnostné opatrenie siete určené na zabránenie neoprávnenému prístupu k systémom ich fyzickou izoláciou od ostatných nezabezpečených sietí vrátane lokálnych sietí a verejného internetu. To tiež znamená, že jediným spôsobom prenosu údajov je pripojenie fyzického zariadenia, ako sú jednotky USB alebo externé pevné disky.

Vzhľadom na to, že mechanizmus je jedným z najbežnejších spôsobov ochrany SCADA a priemyselných riadiacich systémov (ICS), skupiny APT, ktoré sú zvyčajne sponzorované alebo sú súčasťou úsilia národných štátov, sa čoraz viac zameriavajú na kritickú infraštruktúru v nádeji, že preniknú do vzduchu. – sieť s medzerami s malvérom, aby bolo možné sledovať ciele záujmu.

Primárne stavaný na útok WindowsSlovenská firma zaoberajúca sa kybernetickou bezpečnosťou uviedla, že najmenej 75 % všetkých rámcov využívajúcich škodlivé súbory LNK alebo AutoRun na jednotkách USB na vykonanie počiatočného kompromitovania systému so vzduchovou medzerou alebo na presun v rámci operačného systému založeného na operačných systémoch. sieť so vzduchovou medzerou.

Niektoré rámce, ktoré boli pripísané známym aktérom hrozieb, sú nasledovné:

„Všetky rámce si vymysleli svoje vlastné spôsoby, ale všetky majú jednu spoločnú vec: bez výnimky všetky používali USB disky,“ vysvetlili vedci. „Hlavný rozdiel medzi prepojenými a offline rámcami je v tom, ako je jednotka v prvom rade vyzbrojená.“

Zatiaľ čo pripojené rámce fungujú nasadením škodlivého komponentu na pripojenom systéme, ktorý monitoruje vkladanie nových USB diskov a automaticky do nich umiestňuje útočný kód potrebný na otravu systému so vzduchovou medzerou, offline rámce ako Brutal Kangaroo, EZCheese a ProjectSauron sa spoliehajú na útočníci úmyselne infikovali svoje vlastné USB disky, aby zablokovali cieľové počítače.

To znamená, že skrytý prenos údajov z prostredia so vzduchovou medzerou bez toho, aby boli USB spoločným vláknom, zostáva výzvou. Hoci bolo navrhnutých množstvo metód na tajné odčerpávanie vysoko citlivých údajov využívaním ethernetových káblov, signálov Wi-Fi, napájacej jednotky počítača a dokonca aj zmien jasu obrazovky LCD ako nových bočných kanálov, útoky vo voľnej prírode využívajúce tieto techniky sa ešte musia dodržať.

V rámci preventívnych opatrení sa organizáciám s kritickými informačnými systémami a citlivými informáciami odporúča zabrániť priamemu prístupu k e-mailom na pripojených systémoch, deaktivovať porty USB a dezinfikovať jednotky USB, obmedziť spúšťanie súborov na vymeniteľných jednotkách a vykonávať pravidelnú analýzu systémov so vzduchovou medzerou na zistenie akýchkoľvek príznakov. podozrivej činnosti.

„Udržiavanie systému s úplnou vzduchovou medzerou prináša výhody dodatočnej ochrany,“ povedal Dorais-Joncas. “Ale rovnako ako všetky ostatné bezpečnostné mechanizmy, air gaping nie je strieborná guľka a nezabráni zlomyseľným aktérom, aby sa živili zastaranými systémami alebo zlými návykmi zamestnancov.”