Sandworm und die SCADA Connection

Originalartikel von Kyle Wilhoit und Jim Gogolinski, Senior Threat Researcher

Vor wenigen Tagen wurde ein Bericht zum Sandworm-Team veröffentlicht. Nach der Erforschung der mit Sandworm in Zusammenhang stehenden Schadsoftware und der Domänen erkannte das Trend Micro-Expertenteam schnell, dass diese Gruppe sehr wahrscheinlich auch auf SCADA fokussierte Opfer ins Visier nehmen werde, die die CIMPLICITY HMI-Lösung von GE Intelligent Platforms einsetzen.

Die Cyberkriminellen nutzen .cim- und .bcl-Dateien als Angriffsvektoren – beides Dateitypen, die von der CIMPLICITY-Software verwenden werden. Ein weiterer Beweis für diese Annahme ist die Tatsache, dass die Schadsoftware Dateien in das CIMPLICITY-Installationsverzeichnis der Opfermaschinen mit Hilfe der %CIMPATH%-Umgebungsvariablen ablegt.


Bild 1. Zeichenketten, die die Umgebungsvariable zeigen

CIMPLICITY ist eine Anwendungssuite, die im Zusammenhang mit SCADA-Systemen eingesetzt wird. Eine Schlüsselkomponente jedes SCADA-Systems ist die HMI (Human Machine Interface), eine Art Operator-Konsole für das Monitoring und die Kontrolle der Geräte in einer Industrieumgebung. Diese Geräte können für die Automationskontrolle und auch für die Sicherheitsvorgänge verantwortlich sein. Bild 2 zeigt ein Beispiel dafür, wo HMIs in einem Elektrizitätswerk zu finden sind. Zudem können HMIs im Unternehmensnetzwerk, das für Design, Entwicklung und Tests zuständig ist, vorhanden sein.


Bild 2. Beispiel eines SCADA-Systems

Derzeit wird CIMPLICITY als Angriffsvektor genutzt, doch haben die Forscher keine Hinweise darauf gefunden, dass diese Schadsoftware ein tatsächliches SCADA-System oder diesbezügliche Daten manipuliert hat. Weil HMIs sowohl in Unternehmens- als auch in Kontrollnetzwerken zu finden sind, könnte dieser Angriff dazu genutzt werden, um entweder ein Netzwerksegment zu treffen, oder um vom Unternehmens- ins Kontrollnetzwerk zu wechseln.

Beim näheren Prüfen des Berichts zum Sandworm-Team fielen dort einige der C2s auf. Einer der auffälligsten war 94[.]185[.]85[.]122. Die Sicherheitsforscher konnten eine Datei namens config.bak(SHA1 hash: c931be9cd2c0bd896ebe98c9304fea9e) finden. Es handelte sich um eine CimEdit/CimView-Datei, eine objektorientierte Datei für für die Verwaltung von SCADA-Geräten in GEs Cimplicity SCADA-Software. Weitere Einzelheiten der Beweisführung finden Interessierte hier.

Alle hier aufgelisteten Samples werden von Trend Micro derzeit unter dem Namen BKDR_BLACKEN.A und BKDR_BLACKEN.B geführt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*