Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/10/2014
La vulnerabilitat de Sandworm afecta les organitzacions que usen SCADA
Investigadors de la companyia TrendMicro han trobat atacs actius contra les organitzacions que utilitzen el programari de control, i això és un primer pas per als atacs dirigits d’estil APT.
En el blog de la companyia, TrendMicro ha analitzat com els equips que utilitzen Microsoft Windows executant la suite de solucions CIMPLICITY HMI de la plataforma intel·ligent GE són atacats amb un correu electrònic d'atacs dirigits.
El correu té un arxiu adjunt maliciós que s’obri en l’aplicació CIMPLICITY i intenta aprofitar esta vulnerabilitat Sandworm en Microsoft Windows. Si l’atac contra el sistema Microsoft Windows CIMPLICITY té èxit, intenta descarregar el programari maliciós Black Energy en el sistema. Este pertany a una família de programari maliciós associat amb atacs dirigits que controla per complet i de forma remota un sistema compromés. Estos correus d'atacs dirigits tenen el ganxo que pareixen tractar un assumpte polític controvertit a Europa de l’Est, ja que són remesos, suposadament, per Oleh Tiahnybok, un polític ucraïnés amb punts de vista clarament antirussos.
Altres dos membres de la família de programari maliciós Black Energy, el Blacken.A i Blacken.B, també han sigut utilitzats en atacs que usen la mateixa vulnerabilitat sandworm.
Trend Micro suggerix que les organitzacions que són vulnerables a l’atac haurien d’implementar l’actualització de seguretat que Microsoft ha llançat per a protegir contra la vulnerabilitat MS14-060.
Recentment, TrendLabs ha llançat la investigació en què vincula el grup que hi ha darrere d’este atac de dia zero, Sandworm, amb els atacs dirigits contra una plataforma SCADA proporcionada per GE, la suite de solucions CIMPLICTYHMI. Esta suite de solucions pot ser utilitzada per a monitoritzar i controlar dispositius en configuracions industrials i també pot ser utilitzada en entorns corporatius per a disseny, desenrotllament i configuracions de proves.
Informació tècnica detallada de l’atac en este enllaç, en el blog de Trend Micro (en anglés).