Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/10/2014
La vulnerabilidad de Sandworm afecta a las organizaciones que usan SCADA
Investigadores de la compañía TrendMicro han encontrado ataques activos contra las organizaciones que utilizan el software de control CIMPLICITY HMI, siendo un primer paso para los ataques dirigidos de estilo APT.
En el blog de la compañía, TrendMicro ha analizado cómo los equipos que utilizan Microsoft Windows ejecutando la suite de soluciones CIMPLICITY HMI de la plataforma Inteligente GE son atacados con un correo electrónico de spear phishing.
El mail tiene un archivo adjunto malicioso que se abre en la aplicación CIMPLICITY e intenta aprovechar esta vulnerabilidad sandworm en Microsoft Windows. Si el ataque contra el sistema Microsoft Windows CIMPLICITY tiene éxito, intenta descargar el malware Black Energy en el sistema. Este pertenece a una familia de malware asociado con ataques dirigidos que controla por completo y de forma remota un sistema comprometido. Estos mails de spear phishing poseen el gancho de que parecen tratar un asunto político controvertido en Europa del Este, al ser remitidos supuestamente por Oleh Tiahnybok, un político ucraniano con claros puntos de vista anti-rusos
Otros dos miembros de la familia de malware Black Energy, el Blacken.A y Blacken.B, también han sido utilizados en ataques que usan la misma vulnerabilidad sandworm.
Trend Micro sugiere que las organizaciones que son vulnerables al ataque deberían implementar la actualización de seguridad que Microsoft ha lanzado para proteger contra la vulnerabiliad MS14-060.
Recientemente, TrendLabs ha lanzado la investigación en la que vincula al grupo que está detrás de este ataque de día cero, Sandworm, con los ataques dirigidos contra una plataforma SCADA proporcionada por GE, la suite de soluciones CIMPLICTYHMI. Esta suite de soluciones puede ser empleada para monitorizar y controlar dispositivos en configuraciones industriales y también puede ser utilizada en entornos corporativos para diseño, desarrollo y configuraciones de pruebas.
Información técnica detallada del ataque en este enlace, en el blog de Trend Micro (en inglés).