Istraživači otkrili malver za industrijski sabotaž stariji od Stuxneta pet godina
SentinelOne istražuje malver za industrijsku sabotažu iz 2005. koji je stariji od Stuxneta pet godina i injektuje greške u precizne inženjerske proračune.
Šta se desilo?
Istraživači iz kompanije SentinelOne pronašli su uzorke sofisticiranog malvera iz 2005. godine koji je bio namenjen sabotažu industrijskih sistema, pet godina pre nego što je poznat Stuxnet. Otkriveni malver koristi neuobičajenu tehniku - injektuje greške u operacije sa brojevima velika preciznosti kako bi kompromitovao inženjerske simulacije i proračune.
Koga pogađa?
Napad je bio usmeran na inženjerske radne stanice i servere koji koriste softver za simulacije visokih performansi. Pogođeni su sistemi korišćeni u domenama kao što su avijacija, autoindustrija, graditeljstvo, fizika i nuklearna istraživanja. Posebno su zanimljivi dokazi koji ukazuju na povezanost sa iranskim nuklearnim programom.
Kako se zaštititi?
- Redovno ažurirajte operativni sistem i sve instalovane aplikacije na najnovije verzije
- Obezbedite mrežu od neovlašćenog pristupa korišćenjem firewall-a i segmentacije mreže
- Primenjujte kernel-level zaštitu na kritičnim sistemima
- Pratite podozrene aktivnosti i promene u datotekama kernela
- Periodično verifikujte rezultate inženjerskih simulacija na nezavisnim sistemima
- Implementirajte naprednu detekciju prisustva (EDR) na kritičnim radnim stanicama
Tehnički detalji
Malver se sastoji od nekoliko komponenti. Glavna datoteka svcmgmt.exe iz 2005. godine predstavlja prvi poznati Lua worm za Windows i koristi šifrovani Lua bytecode za većinu svoje logike. Kernel drajver fast16.sys deluje kao rootkit koji presreće i modifikuje izvršive datoteke sa diska. Sadrži 101 pravilo za prepoznavanje i zamenu bytecode obrazaca. Napad ciljno utiče na brojne operacije Floating Point Unit (FPU) - jedinice za rad sa decimalnim brojevima - što omogućava injekciju sistematskih grešaka u inženjerske proračune. Софтвер LS-DYNA verzija 970 identificiran je kao jedan od ciljnih programa koji se koristi za simulacije ponašanja materijala pod ekstremnim uslovima.
Preporuka Sajber Radara
Ovaj otkriće potvrđuje da su sofisticirane sabotažne operacije u fizičkom svetu preko kiberneta trajale duže nego što se mislilo. Organizacije sa kritičnom infrastrukturom i inženjerskim resursima trebale bi da procene rizik od sličnih napada i pojačaju zaštitu na nivou kernela.
