Havex

trojský kůň

Malware Havex, též známý jako Backdoor.Oldrea, je trojský kůň pro umožnění vzdáleného přístupu do systému (RAT, Remote Access Trojan) využívaný hackerskou skupinou "Energetic Bear" či "Dragonfly"[1]. Havex byl objeven v roce 2013 a je znám jako jeden z pěti malwarů vyvinutých přesně pro průmyslové řídící systémy ICS, tedy napadající systémy operačních technologií. Mezi tento malware spadá i malware Stuxnet, BlackEnergy, Industroyer a Triton/Trisis[2]. Skupina Energetic Bear začala malware využívat za účelem rozšíření špionážní kampaně zaměřující se na energetické systémy, letecký průmysl, farmacii i sektory zabývající se obrannými systémy. Kampaň se zaměřovala především na Spojené státy americké a Evropu[1].

ObjevEditovat

Malware Havex byl objeven bezpečnostními výzkumníky společností F-Secure a NortonLifeLock, a poté nahlášen do ICS-CERT v roce 2014[3]. Společnost ICS-CERT zaznamenala novou kampaň zaměřující se na vybavení spadající do operačních technologií využívající hned několika metod a využívající protokol OPC pro provádění průzkumu sítě operačních technologií k výběru cíle[1].

PopisEditovat

Malware Havex má dvě hlavní komponenty: trojského koně pro umožnění vzdáleného přístupu do systému (RAT) a řídící server pro malware (tzv. C&C server) napsaný v jazyce PHP[4]. Havex také obsahuje skenovací modul pro OPC (Open Platform Communications) pro vyhledávání průmyslových zařízení v síti[1]. Skenovací modul byl navržen tak, aby skenoval zařízení na portech 44818 (Ethernet/IP), 105 (trojský kůň NetRe) a 502 (protokol Modbus). Výzkumnící v SANS zjistili, že se jedná o velmi rozšířené porty pro automatizační jednotky Siemens a Rockwell. Zneužívaním protokolu OPC, Havex dokáže mapovat průmyslové systémy v okamžik, jakmile se dostane na počítač oběti. Výzkumníci též zaznamenali, že skenovací modul OPC používal pouze starší verzi standardu založené na protokolu DCOM, a tedy není kompatibilní s modernější OPC Unified Architecture (OPC UA).

Zaměření a obětiEditovat

Skupina Dragonfly využívala malware Havex ve špionážní kampani proti energetickému, leteckému, farmaceutickému, obrannému a petrochemickému průmyslu především ve Spojených státech amerických a Evropě. Bezpečnostní výzkumníci ve společnosti Dragos odhadovali, že cílem útoku bylo přes 2000 míst v těchto regionech a sektorech. Výzkumníci ve společnosti NortonLifeLock pozorovali, že se malware Havex soustředil na cíle v rámci energetické infrastruktury hned po kanadském obranném a leteckém sektoru. Během své práce prozkoumali výzkumníci 146 řídících serverů spojených s malwarem Havex a odhalili 88 variant tohoto malwaru.

ReferenceEditovat

  1. a b c d Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure. FireEye [online]. [cit. 2021-04-22]. Dostupné online. (anglicky) 
  2. ICS Focused Malware (Update A) | CISA. us-cert.cisa.gov [online]. [cit. 2021-04-22]. Dostupné online. 
  3. Cyber espionage campaign based on Havex RAT hit ICS/SCADA systems. Security Affairs [online]. 2014-06-25 [cit. 2021-04-22]. Dostupné online. (anglicky) 
  4. ICS Focused Malware (Update A) | CISA. us-cert.cisa.gov [online]. [cit. 2021-04-22]. Dostupné online. 

V tomto článku byl použit překlad textu z článku Havex na anglické Wikipedii.