WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phát hiện malware tương tự Stuxnet nhắm mục tiêu vào các thiết bị SCADA
Đã vài năm kể từ khi mã độc Stuxnet “khét tiếng” tấn công các máy ly tâm tại nhiều nhà máy điện hạt nhân của Iran, một loại mã độc mới có sử dụng một số tính năng tương tự Stuxnet bị phát hiện đang nhắm mục tiêu vào các thiết bị ICS/SCADA.
Được gọi là IRONGATE, malware chỉ nhắm mục tiêu đến các thiết bị ICS/SCADA do Siemens sản xuất. FireEye cho hay hãng phát hiện mã độc vào nửa cuối năm 2015, nhưng theo dõi thấy một số mẫu của malware đã xuất hiện từ tháng 9/2014, khi nhiều tổ chức/cá nhân upload các phiên bản khác nhau của mã độc lên VirusTotal.
Theo FireEye, tỷ lệ phát hiện tại thời điểm đó là 0 và không có cuộc tấn công nào sử dụng malware này từng được ghi nhận trên thực tế.
IRONGATE có chung một số tính năng với Stuxnet
Nhóm nghiên cứu của FireEye phát hiện malware này vô cùng thú vị vì chế độ hoạt động của nó có một số hành vi giống Stuxnet.
Cũng như Stuxnet, IRONGATE sử dụng kỹ thuật Man-in-the-Middle (MitM) để tự chèn vào giữa bộ điều khiển logic lập trình PLC và quy trình giám sát phần mềm.
Một đặc điểm giống nhau nữa giữa mã độc và Stuxnet là việc khởi phát tấn công MitM bằng cách thay thế file DLL hợp lệ bằng một bản sao độc hại.
Các nhà nghiên cứu cũng nhận thấy những điểm khác biệt giữa hai loại malware trong cách phản ứng với kỹ thuật đảo ngược. Trong khi Stuxnet tìm kiếm sự hiện diện của các phần mềm diệt virus, IRONGATE lại áp dụng cách tiếp cận khác, tìm kiếm các môi trường sandbox như VMWare hoặc Cuckoo Sandbox. Nếu tìm thấy, IRONGATE sẽ từ chối thực thi payload độc hại của nó.
Một khác biệt nữa, IRONGATE ghi và lặp lại dữ liệu quy trình để che giấu hoạt động của nó trên hệ thống bị lây nhiễm. Trong khi đó, Stuxnet không bao giờ che giấu sự hiện diện của nó, thay vào đó nó làm gián đoạn quy trình sau khi đã đạt được mục đích.
FireEye cho rằng malware không liên quan tới PLC Blaster
Tháng trước, một nhóm nghiên cứu người Đức tiết lộ thông tin về PLC Blaster, một dòng mã độc SCADA có khả năng tự sao chép như worm, cũng nhắm mục tiêu đến các thiết bị Siemens.
Mặc dù có sự hiện diện của thành phần chống dịch ngược, những đặc điểm nổi bật của một mã độc phá hoại, các đặc tính của IRONGATE cho thấy mã độc này thực chất là một thử nghiệm, mã proof of concept, hoặc thuộc một nghiên cứu, theo FireEye.
FireEye cho biết thêm: “Chúng tôi không nhìn thấy sự liên hệ giữa PLC Blaster và IRONGATE”.
Nguồn: Softpedia
Được gọi là IRONGATE, malware chỉ nhắm mục tiêu đến các thiết bị ICS/SCADA do Siemens sản xuất. FireEye cho hay hãng phát hiện mã độc vào nửa cuối năm 2015, nhưng theo dõi thấy một số mẫu của malware đã xuất hiện từ tháng 9/2014, khi nhiều tổ chức/cá nhân upload các phiên bản khác nhau của mã độc lên VirusTotal.
Theo FireEye, tỷ lệ phát hiện tại thời điểm đó là 0 và không có cuộc tấn công nào sử dụng malware này từng được ghi nhận trên thực tế.
IRONGATE có chung một số tính năng với Stuxnet
Nhóm nghiên cứu của FireEye phát hiện malware này vô cùng thú vị vì chế độ hoạt động của nó có một số hành vi giống Stuxnet.
Cũng như Stuxnet, IRONGATE sử dụng kỹ thuật Man-in-the-Middle (MitM) để tự chèn vào giữa bộ điều khiển logic lập trình PLC và quy trình giám sát phần mềm.
Một đặc điểm giống nhau nữa giữa mã độc và Stuxnet là việc khởi phát tấn công MitM bằng cách thay thế file DLL hợp lệ bằng một bản sao độc hại.
Các nhà nghiên cứu cũng nhận thấy những điểm khác biệt giữa hai loại malware trong cách phản ứng với kỹ thuật đảo ngược. Trong khi Stuxnet tìm kiếm sự hiện diện của các phần mềm diệt virus, IRONGATE lại áp dụng cách tiếp cận khác, tìm kiếm các môi trường sandbox như VMWare hoặc Cuckoo Sandbox. Nếu tìm thấy, IRONGATE sẽ từ chối thực thi payload độc hại của nó.
Một khác biệt nữa, IRONGATE ghi và lặp lại dữ liệu quy trình để che giấu hoạt động của nó trên hệ thống bị lây nhiễm. Trong khi đó, Stuxnet không bao giờ che giấu sự hiện diện của nó, thay vào đó nó làm gián đoạn quy trình sau khi đã đạt được mục đích.
FireEye cho rằng malware không liên quan tới PLC Blaster
Tháng trước, một nhóm nghiên cứu người Đức tiết lộ thông tin về PLC Blaster, một dòng mã độc SCADA có khả năng tự sao chép như worm, cũng nhắm mục tiêu đến các thiết bị Siemens.
Mặc dù có sự hiện diện của thành phần chống dịch ngược, những đặc điểm nổi bật của một mã độc phá hoại, các đặc tính của IRONGATE cho thấy mã độc này thực chất là một thử nghiệm, mã proof of concept, hoặc thuộc một nghiên cứu, theo FireEye.
FireEye cho biết thêm: “Chúng tôi không nhìn thấy sự liên hệ giữa PLC Blaster và IRONGATE”.
Nguồn: Softpedia