Cesko.wiki
Registrovat

Havex

Technology
12 hours ago
8
4
2
Avatar
Author
Albert Flores

Malware Havex, též známý jako Backdoor.Oldrea, je trojský kůň pro umožnění vzdáleného přístupu do systému (RAT, Remote Access Trojan) využívaný hackerskou skupinou "Energetic Bear" či "Dragonfly". Havex byl objeven v roce 2013 a je znám jako jeden z pěti malwarů vyvinutých přesně pro průmyslové řídící systémy ICS, tedy napadající systémy operačních technologií. Mezi tento malware spadá i malware Stuxnet, BlackEnergy, Industroyer a Triton/Trisis. Skupina Energetic Bear začala malware využívat za účelem rozšíření špionážní kampaně zaměřující se na energetické systémy, letecký průmysl, farmacii i sektory zabývající se obrannými systémy. Kampaň se zaměřovala především na Spojené státy americké a Evropu.

Objev

Malware Havex byl objeven bezpečnostními výzkumníky společností F-Secure a NortonLifeLock, a poté nahlášen do ICS-CERT v roce 2014. Společnost ICS-CERT zaznamenala novou kampaň zaměřující se na vybavení spadající do operačních technologií využívající hned několika metod a využívající protokol OPC pro provádění průzkumu sítě operačních technologií k výběru cíle.

Popis

Malware Havex má dvě hlavní komponenty: trojského koně pro umožnění vzdáleného přístupu do systému (RAT) a řídící server pro malware (tzv. C&C server) napsaný v jazyce PHP. +more Havex také obsahuje skenovací modul pro OPC (Open Platform Communications) pro vyhledávání průmyslových zařízení v síti. Skenovací modul byl navržen tak, aby skenoval zařízení na portech 44818 (Ethernet/IP), 105 (trojský kůň NetRe) a 502 (protokol Modbus). Výzkumnící v SANS zjistili, že se jedná o velmi rozšířené porty pro automatizační jednotky Siemens a Rockwell. Zneužívaním protokolu OPC, Havex dokáže mapovat průmyslové systémy v okamžik, jakmile se dostane na počítač oběti. Výzkumníci též zaznamenali, že skenovací modul OPC používal pouze starší verzi standardu založené na protokolu DCOM, a tedy není kompatibilní s modernější OPC Unified Architecture (OPC UA).

Important

Energetic Bear
Řídící server pro malware
malware
US-CERT
BlackEnergy
OPC Unified Architecture
F-Secure
Modbus
Triton (malware)
Skenování portů
PHP
NortonLifeLock

Zaměření a oběti

Skupina Dragonfly využívala malware Havex ve špionážní kampani proti energetickému, leteckému, farmaceutickému, obrannému a petrochemickému průmyslu především ve Spojených státech amerických a Evropě. Bezpečnostní výzkumníci ve společnosti Dragos odhadovali, že cílem útoku bylo přes 2000 míst v těchto regionech a sektorech. +more Výzkumníci ve společnosti NortonLifeLock pozorovali, že se malware Havex soustředil na cíle v rámci energetické infrastruktury hned po kanadském obranném a leteckém sektoru. Během své práce prozkoumali výzkumníci 146 řídících serverů spojených s malwarem Havex a odhalili 88 variant tohoto malwaru.

5 min read
Share this post:
Like it 8

Leave a Comment

Please, enter your name.
Please, provide a valid email address.
Please, enter your comment.
Enjoy this post? Join Cesko.wiki
Don’t forget to share it
Top