Автоматизированные системы управления (АСУ), оснащенные программным интерфейсом «человек – машина» от некоторых производителей, стали целью хакерской кампании, использующей зловред BlackEnergy.

United States Industrial Control Systems Cyber Emergency Response Team (американская команда быстрого киберреагирования по АСУ) во вторник опубликовала оповещение о зловреде, найденном в ряде компаний, использующих подключенное к Интернету программное обеспечение HMI. ПО HMI обеспечивает визуализацию управления и промышленных процессов. Этим интерфейсы связаны с программируемыми логическими контроллерами и управляют процессами с центральной консоли, обычно запущенной на Windows-компьютере. Речь о процессах включения и выключения насосов, управления температурой и о других подобных задачах.

ICS-CERT назвала три продукта HMI, находящихся под угрозой: GE Cimplicity, Advantech/Broadwin WebAccess и Siemens WinCC. Не исключена возможность того, что зловред опасен и для HMI других производителей.

«Пока что ICS-CERT не обнаружила никаких попыток повредить, модифицировать или как-то нарушить процессы управления системами жертвы. ICS-CERT не смогла определить, получилось ли у злоумышленников проникнуть дальше скомпрометированных HMI в низлежащую систему управления, — сказано в оповещении. — Тем не менее типичная установка зловреда содержит модули, которые ищут любые файлы, доступные по сети, и съемные накопители для дополнительного распространения по зараженному окружению. Зловред имеет модульную структуру, и не вся функциональность ставится всем жертвам».

Двумя неделями позже исследователи из iSIGHT Partners разоблачили русскую шпионскую кампанию, которая использует BlackEnergy для эксплуатации уже пропатченной Windows-уязвимости нулевого дня (CVE-2014-4114), чтобы красть данные у государственных учреждений, военных и энергетических компаний, а также НATO и телеком-провайдеров. Злоумышленники, названные iSIGHT Sandworm, используют вредоносные файлы PowerPoint, загруженные эксплойт-кодом и вложенные в целевые фишинговые письма. Эти атаки были отмечены в Польше, Западной Европе и на Украине, и, как сообщила ICS-CERT, атаки против HMI не эксплуатируют эту уязвимость. Между двумя операциями была выявлена связь через совместно используемую инфраструктуру управления и контроля, это позволило предположить, что за обеими кампаниями стоит одна централизованная группа.

По данным ICS-CERT, атаки против GE Cimplicity HMI проводятся с января 2012 года, использующаяся при этом уязвимость CVE-2014-0751 была опубликована в декабре 2013 года. Оповещение гласит, что злоумышленники были способы запускать вредоносный экранный файл Cimplicity с расширением .cim, размещенный на сервере управления и контроля. Файл .cim содержит встроенный скрипт, запускающий и загружающий установщик BlackEnergy CimWrapPNPS.exe, который удаляет себя после того, как зловред скомпрометирует систему.

ICS-CERT сообщила, что у нее меньше деталей касательно атак против WinCC и продуктов Advantech/Broadwin, но в случае WinCC потенциально вредоносный файл, подделывающийся под легитимный файл WinCC, был найден в той же папке, где содержался вредоносный Cimplicity-файл .cim.

ICS-CERT опубликовала несколько признаков компрометации, включая сигнатуру для Yara.

Категории: Вредоносные программы, Главное, Уязвимости