Rilevamento Pipedream/INCONTROLLER: Nuovo framework di attacco e strumenti mirati ai sistemi di controllo industriale

Le agenzie governative statunitensi – CISA, FBI, NSA e il Dipartimento dell’Energia – insieme a diversi team aziendali di ricercatori di sicurezza informatica hanno lanciato un allarme riguardo a minacce nazionali ai sistemi di controllo industriale (ICS). Secondo gli investigatori della sicurezza, gli attori APT sfruttano un set di strumenti distruttivo per prendere il controllo delle macchine mirate una volta stabilito l’accesso iniziale alla rete di tecnologia operativa (OT). Questi attacchi portano il potenziale per sabotare e distruggere i processi stabiliti e portare a compromessi fisici.

I ricercatori stanno collegando il malware specifico per ICS INCONTROLLER e Pipedream agli attori di minacce legati alla Russia.

Rilevazione Malware ICS Pipedream/INCONTROLLER

Per una rilevazione senza sforzo del Malware ICS Pipedream/INCONTROLLER, utilizza il seguente contenuto di rilevamento delle minacce rilasciato da un esperto di sicurezza esperto Sittikorn Sangrattanapitak. La regola basata su Sigma rileva nomi di file sospetti associati allo sfruttamento di driver della scheda madre ASRock – CVE-2020-15368. È creata dal framework di attacco sponsorizzato dallo stato INCONTROLLER sviluppato per mirare agli ICS che sfruttano sistemi basati su Windows in ambienti IT o di tecnologia operativa (OT):

Strumenti di Attacco Cibernetico Sponsorizzati dallo Stato INCONTROLLER che Mirano ai Sistemi di Controllo Industriale con Sfruttamento di Driver [CVE-2020-15368] (tramite file_event)

Questa rilevazione è disponibile per le 22 piattaforme SIEM, EDR & XDR, allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione Iniziale con Esecuzione Utente (T1204) come tecnica principale.

Segui gli aggiornamenti del contenuto di rilevamento relativo a INCONTROLLER nel repository del Threat Detection Marketplace della piattaforma SOC Prime qui. La libreria di contenuti di rilevamento di SOC Prime è costantemente aggiornata con nuovi contenuti, potenziata dall’approccio collaborativo alla difesa cibernetica e abilitata dal modello Follow the Sun (FTS) per garantire una consegna tempestiva delle rilevazioni per minacce critiche.

Desideroso di cacciare le ultime minacce, automatizzare l’indagine sulle minacce e ottenere feedback e valutazioni dalla comunità di 20.000+ professionisti della sicurezza? Unisciti a SOC Prime, la prima piattaforma al mondo per la difesa cibernetica collaborativa, la caccia alle minacce e la scoperta che si integra con oltre 25 piattaforme SIEM, EDR, XDR. Hai ambizioni elevate in cybersecurity? Partecipa al nostro programma Threat Bounty, sviluppa le tue regole Sigma e ottieni ricompense ricorrenti per il tuo prezioso contributo!

Visualizza Rilevazioni Partecipa a Threat Bounty

Analisi del Malware ICS Pipedream/INCONTROLLER

Un Avviso di Sicurezza Informatica congiunto di CISA, FBI, NSA e del Dipartimento dell’Energia degli Stati Uniti, rilasciato il 13 aprile 2022, descrive in dettaglio molteplici attacchi specifici per ICS così come i tentativi degli attori APT di prendere il controllo dei dispositivi di controllo supervisivo e acquisizione dati (SCADA), come i controllori logici programmabili (PLC) rilasciati dalle aziende Schneider Electric e OMRON (dispositivi Sysmac NJ e NX) oltre a prendere di mira i server Open Platform Communications Unified Architecture (OPC UA).

L’azienda di sicurezza informatica Dragos ha rilasciato la loro dichiarazione riguardo agli attacchi in questione, riferendosi al malware utilizzato come Pipedream (che è ricondotto a un APT Chernovite), mentre Mandiant si concentra sul set di strumenti denominato INCONTROLLER. Il malware ICS Pipedream/INCONTROLLER consente agli avversari di scansionare i dispositivi ICS e SCADA e di acquisire il pieno controllo delle macchine affette una volta ottenuto con successo l’accesso iniziale alla rete di tecnologia operativa (OT). Inoltre, i componenti del framework di attacco permettono di sfruttare una falla nel driver ASRock RGB, tracciata CVE-2020-15368 (vedi la regola basata su Sigma sopra). INCONTROLLER stesso è una composizione di tre strumenti ICS di diverse capacità: TAGRUN, CODECALL e OMSHELL. I componenti INCONTROLLER sopra menzionati sono utilizzati in varie fasi di un attacco.

Gli scenari di attacco INCONTROLLER suggeriscono una comparabilità con le varianti di malware Triton, Student e Industroyer. I ricercatori avvertono che alla luce degli eventi attuali, i.e., l’invasione russa dell’Ucraina, il malware INCONTROLLER e Pipedream hanno una capacità allarmante di mettere in pericolo molte infrastrutture critiche sabotando i processi industriali dell’Ucraina e di altri paesi che si oppongono all’aggressione russa. Ad esempio, l’ultimo campione della famigerata famiglia di malware Industroyer, chiamato Industroyer2, ha recentemente fatto notizia, con gli operatori del gruppo APT Sandworm dietro l’attacco che ha paralizzato la rete elettrica ucraina.

I ricercatori sottolineano che la maggior parte dei dispositivi colpiti da INCONTROLLER sono integrati con macchinari automatizzati e spesso rappresentano una parte poco appariscente delle operazioni industriali. La piena portata delle conseguenze deve ancora essere scoperta.

In tempi difficili, riponi la tua fiducia in strumenti e risorse collaudati per garantire che il tuo sistema non sia un’oca seduta per i cyber-offender. Stai insieme a SOC Prime per un futuro più sicuro. Iscriviti gratuitamente sulla piattaforma Detection as Code di SOC Prime per ottimizzare le operazioni del tuo SOC con le migliori pratiche e competenze condivise.