Trong cuộc tấn công ban đầu, nhóm này đã khai thác lỗ hổng MS Exchange để phát tán phần mềm độc hại ShadowPad và xâm nhập vào hệ thống tự động hóa tòa nhà của nạn nhân.
Hệ thống tự động hóa tòa nhà (BAS) kết nối tất cả các chức năng trong tòa nhà, từ điện, sưởi ấm đến cứu hỏa và an ninh, đồng thời được quản lý từ một trung tâm điều khiển duy nhất. Khi bảo mật của BAS bị xâm phạm, tất cả các quy trình trong tổ chức đó, bao gồm cả những quy trình liên quan đến bảo mật thông tin, đều gặp rủi ro.
Các chuyên gia của Kaspersky ICS CERT phát hiện các cuộc tấn công như vậy nhằm vào các tổ chức trong lĩnh vực công nghiệp và viễn thông ở Pakistan, Afghanistan và Malaysia. Các cuộc tấn công có một loạt chiến thuật, kỹ thuật và quy trình (TTP) độc đáo, làm tăng thêm nghi ngờ rằng cùng một tác nhân đe dọa nói tiếng Trung Quốc đứng đằng sau các cuộc tấn công. Người ta chỉ ra rằng tác nhân đe dọa sử dụng hệ thống tự động hóa tòa nhà trong cơ sở hạ tầng của các công ty làm điểm xâm nhập. Đây là điều bất thường đối với các nhóm APT. Bằng cách kiểm soát các hệ thống này, kẻ tấn công có thể tiếp cận các điểm nhạy cảm hơn của tổ chức bị tấn công.
Theo nghiên cứu cho thấy, công cụ chính của nhóm APT ShadowPad tạo thành cửa sau. Kaspersky chứng kiến phần mềm độc hại này đang được nhiều tác nhân APT nói tiếng Trung Quốc sử dụng. Trong các cuộc tấn công được quan sát, cửa sau ShadowPad được tải xuống các máy tính bị tấn công dưới vỏ bọc phần mềm hợp pháp. Trong hầu hết các trường hợp, nhóm tấn công khai thác lỗ hổng đã biết trong MS Exchange và nhập lệnh theo cách thủ công. Điều này cho thấy rằng các cuộc tấn công được nhắm mục tiêu cao.
Kirill Kruglov, Chuyên gia bảo mật tại Kaspersky ICS CERT cho biết: “Các hệ thống tự động hóa tòa nhà là mục tiêu hiếm hoi của các tác nhân đe dọa tiên tiến”. Tuy nhiên, các hệ thống này có thể hoạt động như một cửa sau dẫn đến những thông tin có tính bảo mật cao và cung cấp cho kẻ tấn công quyền truy cập vào các khu vực cơ sở hạ tầng khác an toàn hơn. Bởi vì các cuộc tấn công như vậy phát triển cực kỳ nhanh chóng nên chúng cần được phát hiện và ngăn chặn ngay từ giai đoạn đầu. Do đó, khuyến nghị của chúng tôi là liên tục giám sát các hệ thống được đề cập, đặc biệt là trong các lĩnh vực quan trọng được nhắm tới.”
Trên trang web ICS CERT của Kaspersky Bạn có thể tìm hiểu thêm về các cuộc tấn công nhắm vào hệ thống tự động hóa.
Phần mềm độc hại ShadowPad là gì và cách bảo vệ nó?
Để bảo vệ máy tính OT của bạn khỏi nhiều mối đe dọa khác nhau, các chuyên gia của Kaspersky khuyến nghị:
- Thường xuyên cập nhật hệ điều hành và các phần mềm ứng dụng thuộc mạng lưới doanh nghiệp.
- Áp dụng các bản sửa lỗi và bản vá bảo mật cho thiết bị mạng OT khi chúng có sẵn.
- Tiến hành kiểm tra bảo mật thường xuyên các hệ thống OT để xác định và loại bỏ các lỗ hổng bảo mật tiềm ẩn.
- Sử dụng các giải pháp giám sát, phân tích và phát hiện lưu lượng mạng OT để bảo vệ tốt hơn trước các cuộc tấn công có khả năng đe dọa hệ thống OT và tài sản quan trọng của doanh nghiệp.
- Cung cấp chương trình đào tạo về bảo mật OT phù hợp cho nhóm bảo mật CNTT và kỹ sư OT. Điều này rất quan trọng để cải thiện phản ứng với các kỹ thuật độc hại mới và tiên tiến.
- Cung cấp thông tin cập nhật về mối đe dọa cho nhóm an ninh chịu trách nhiệm bảo vệ các hệ thống kiểm soát công nghiệp. Dịch vụ báo cáo thông tin về mối đe dọa ICScung cấp thông tin chuyên sâu về các mối đe dọa hiện tại và vectơ tấn công, cũng như các yếu tố dễ bị tổn thương nhất trong OT và cách giảm thiểu chúng.
- Để các điểm cuối và mạng OT cung cấp khả năng bảo vệ toàn diện cho tất cả các hệ thống quan trọng Bảo mật mạng công nghiệp Kaspersky Sử dụng các giải pháp bảo mật như
- Bảo vệ cơ sở hạ tầng CNTT của bạn. Bảo mật điểm cuối tích hợpbảo vệ các điểm cuối của doanh nghiệp và cung cấp khả năng ứng phó và phát hiện mối đe dọa tự động.
