Kaspersky ha recentemente concluso un’indagine relativa agli attacchi rivolti al settore industriale dell’Europa orientale. L’indagine ha rivelato che gli attori delle minacce impiegano tattiche, tecniche e procedure (TTP) avanzate per compromettere le organizzazioni industriali presenti in questa regione. La produzione e la progettazione e l’integrazione dei sistemi di controllo industriale (ICS) sono stati gli ambiti più colpiti, evidenziando la necessità di una maggiore consapevolezza in materia di sicurezza informatica.
Nel corso dell’indagine, Kaspersky ha scoperto una serie di attacchi mirati per creare un canale continuativo per l’esfiltrazione dei dati. Queste campagne somigliavano molto ad attacchi analizzati in passato, come ExCone e DexCone, e questo suggerisce il coinvolgimento di APT31, conosciuto anche come Judgment Panda e Zirconium.
La ricerca ha rivelato l’utilizzo di impianti avanzati progettati per l’accesso remoto, dimostrando la profonda conoscenza e competenza dei criminali informatici nell’aggirare le misure di sicurezza. Questi impianti hanno permesso di aprile canali permanenti per ottenere dati, persino dai sistemi altamente protetti.
In particolare, gli attori delle minacce hanno utilizzato nuovamente le tecniche di DLL Hijacking (cioè l’abuso di file eseguibili di terze parti, vulnerabili al caricamento di librerie dinamiche malevole e connesse all’interno della loro memoria) per cercare di evitare il rilevamento durante l’esecuzione di più impianti sfruttati nelle tre fasi dell’attacco.
I servizi di archiviazione dati cloud-based come Dropbox e Yandex Disk, così come le piattaforme di condivisione di file temporanei, sono stati usati per esfiltrare i dati e diffondere successivamente il malware. Inoltre, hanno installato un’infrastruttura command & control (C2) su Yandex Cloud e su server privati virtuali (VPS) per mantenere il controllo delle reti compromesse.
In questi attacchi sono state impiegate nuove varianti del malware FourteenHi, famiglia scoperta nel 2021 durante la campagna ExCone che aveva come obiettivo gli enti governativi. Nel 2022 si è evoluta e sono emerse nuove varianti che colpiscono in particolare le infrastrutture delle organizzazioni industriali.
Inoltre, nel corso dell’indagine, è stato scoperto un nuovo malware MeatBall, una backdoor con notevoli capacità di accesso remoto.
“Non possiamo sottovalutare i rischi che corre il settore industriale a causa degli attacchi mirati che devono affrontare. Dal momento che le aziende continuano il loro percorso di digitalizzazione e si affidano a sistemi interconnessi, le possibili conseguenze degli attacchi riusciti alle infrastrutture critiche sono innegabili. Questa analisi mette in luce quanto sia importante implementare misure di cybersecurity resilienti per proteggere le infrastrutture industriali dalle minacce attuali e future”, ha dichiarato Kirill Kruglov, Senior Security Researcher di Kaspersky ICS CERT.
Il report completo sugli impianti di primo livello è disponibile su ICS CERT.
Per proteggere i computer OT dalle minacce informatiche, gli esperti di Kaspersky consigliano di:
⦁ Condurre regolari valutazioni di sicurezza dei sistemi OT per identificare ed eliminare possibili problemi di cybersecurity.
⦁ Impostare valutazioni e classificazioni continue delle minacce come base di partenza per un processo di gestione efficace delle vulnerabilità. Soluzioni specializzate, come ⦁ Kaspersky Industrial ⦁ Cybersecurity, possono essere un aiuto utile e una fonte di informazioni uniche e fruibili, non disponibili pubblicamente.
⦁ Eseguire aggiornamenti tempestivi per i componenti chiave della rete OT aziendale, applicare correzioni e patch di sicurezza o implementare misure di compensazione sono fondamentali per evitare gravi incidenti, che potrebbe causare ingenti danni economici a causa dell’interruzione del processo produttivo.
⦁ Utilizzare soluzioni EDR, come ⦁ Kaspersky Endpoint ⦁ Detection⦁ and ⦁ Response, per il rilevamento tempestivo di minacce avanzate, l’analisi e la risoluzione degli incidenti.
⦁ Migliorare la risposta a nuove tecniche malevole avanzate costruendo e rafforzando le competenze dei team in materia di prevenzione, rilevamento e risposta agli incidenti. Corsi di formazione dedicati alla sicurezza OT per i responsabili della sicurezza IT e il personale OT sono una delle misure chiave per raggiungere questo obiettivo.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo.
Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
