Kaspersky ha recentemente concluso un’indagine relativa agli attacchi rivolti al settore industriale dell’Europa orientale. L’indagine ha rivelato che gli attori delle minacce impiegano tattiche, tecniche e procedure (TTP) avanzate per compromettere le organizzazioni industriali presenti in questa regione
Nel corso dell’indagine, Kaspersky ha scoperto una serie di attacchi mirati per creare un canale continuativo per l’esfiltrazione dei dati. Queste campagne somigliavano molto ad attacchi analizzati in passato, come ExCone e DexCone, e questo suggerisce il coinvolgimento di APT31, conosciuto anche come Judgment Panda e Zirconium.
La ricerca ha rivelato l’utilizzo di impianti avanzati progettati per l’accesso remoto, dimostrando la profonda conoscenza e competenza dei criminali informatici nell’aggirare le misure di sicurezza. Questi impianti hanno permesso di aprile canali permanenti per ottenere dati, persino dai sistemi altamente protetti.
In particolare, gli attori delle minacce hanno utilizzato nuovamente le tecniche di DLL Hijacking (cioè l’abuso di file eseguibili di terze parti, vulnerabili al caricamento di librerie dinamiche malevole e connesse all’interno della loro memoria) per cercare di evitare il rilevamento durante l’esecuzione di più impianti sfruttati nelle tre fasi dell’attacco.
I servizi di archiviazione dati cloud-based come Dropbox e Yandex Disk, così come le piattaforme di condivisione di file temporanei, sono stati usati per esfiltrare i dati e diffondere successivamente il malware. Inoltre, hanno installato un’infrastruttura command & control (C2) su Yandex Cloud e su server privati virtuali (VPS) per mantenere il controllo delle reti compromesse.
In questi attacchi sono state impiegate nuove varianti del malware FourteenHi, famiglia scoperta nel 2021 durante la campagna ExCone che aveva come obiettivo gli enti governativi. Nel 2022 si è evoluta e sono emerse nuove varianti che colpiscono in particolare le infrastrutture delle organizzazioni industriali.
Inoltre, nel corso dell’indagine, è stato scoperto un nuovo malware MeatBall, una backdoor con notevoli capacità di accesso remoto.
“Non possiamo sottovalutare i rischi che corre il settore industriale a causa degli attacchi mirati che devono affrontare. Dal momento che le aziende continuano il loro percorso di digitalizzazione e si affidano a sistemi interconnessi, le possibili conseguenze degli attacchi riusciti alle infrastrutture critiche sono innegabili. Questa analisi mette in luce quanto sia importante implementare misure di cybersecurity resilienti per proteggere le infrastrutture industriali dalle minacce attuali e future”, ha dichiarato Kirill Kruglov, Senior Security Researcher di Kaspersky ICS CERT.
Per proteggere i computer OT dalle minacce informatiche, gli esperti di Kaspersky consigliano di:
- Condurre regolari valutazioni di sicurezza dei sistemi OT per identificare ed eliminare possibili problemi di cybersecurity.
- Impostare valutazioni e classificazioni continue delle minacce come base di partenza per un processo di gestione efficace delle vulnerabilità. Soluzioni specializzate, come Kaspersky Industrial Cybersecurity, possono essere un aiuto utile e una fonte di informazioni uniche e fruibili, non disponibili pubblicamente.
- Eseguire aggiornamenti tempestivi per i componenti chiave della rete OT aziendale, applicare correzioni e patch di sicurezza o implementare misure di compensazione sono fondamentali per evitare gravi incidenti, che potrebbe causare ingenti danni economici a causa dell’interruzione del processo produttivo.
- Utilizzare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento tempestivo di minacce avanzate, l’analisi e la risoluzione degli incidenti.
- Migliorare la risposta a nuove tecniche malevole avanzate costruendo e rafforzando le competenze dei team in materia di prevenzione, rilevamento e risposta agli incidenti. Corsi di formazione dedicati alla sicurezza OT per i responsabili della sicurezza IT e il personale OT sono una delle misure chiave per raggiungere questo obiettivo.
