Verze z 13. 4. 2021, 12:48 editovat MigNov (diskuse \| příspěvky) 168 editací Oprava značka: editace z Vizuálního editoru ← Přejít na předchozí porovnání		Verze z 22. 4. 2021, 15:59 editovat zrušit editaci MigNov (diskuse \| příspěvky) 168 editací m Přepis na řádkové reference značka: přepnuto z Vizuálního editoru Přejít na další porovnání →
Řádek 1: '''Malware Havex''', též známý jako Backdoor.Oldrea, je [[trojský kůň (program)\|trojský kůň]] pro umožnění [[Software pro vzdálenou plochu\|vzdáleného přístupu]] do systému (RAT, [[Remote Access Trojan]]) využívaný [[hacker]]skou skupinou "[[Energetic Bear]]" či "Dragonfly".<ref ~~Havex~~name=":0">{{Citace ~~byl~~elektronického objeven v roce 2013 a je znám jako jeden z pěti [[malware\|malwarů]] vyvinutých přesně pro průmyslové řídící systémy ICS, tedy napadající systémy operačních technologií. Mezi tento malware spadá i malware [[Stuxnet]], [[BlackEnergy]], [[Industroyer]] a [[Triton (malware)\|Triton/Trisis]]. Skupina [[Energetic Bear]] začala [[malware]] využívat za účelem rozšíření špionážní kampaně zaměřující se na energetické systémy, letecký průmysl, farmacii i sektory zabývající se obrannými systémy. Kampaň se zaměřovala především na Spojené státy americké a Evropu.periodika \| titul = Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure \| periodikum = FireEye #\| url = https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html▼ \| jazyk = en \| datum přístupu = 2021-04-22 }}</ref>. Havex byl objeven v roce 2013 a je znám jako jeden z pěti [[malware\|malwarů]] vyvinutých přesně pro průmyslové řídící systémy ICS, tedy napadající systémy operačních technologií. Mezi tento malware spadá i malware [[Stuxnet]], [[BlackEnergy]], [[Industroyer]] a [[Triton (malware)\|Triton/Trisis]]<ref>{{Citace elektronického periodika \| titul = ICS Focused Malware (Update A) {{!}} CISA \| periodikum = us-cert.cisa.gov #\| url = https://~~ics-cert.~~us-cert.cisa.gov/ics/alerts/ICS-ALERT-14-176-02A▼ \| datum přístupu = 2021-04-22 }}</ref>. Skupina [[Energetic Bear]] začala [[malware]] využívat za účelem rozšíření špionážní kampaně zaměřující se na energetické systémy, letecký průmysl, farmacii i sektory zabývající se obrannými systémy. Kampaň se zaměřovala především na Spojené státy americké a Evropu<ref name=":0" />. == Objev == Malware Havex byl objeven bezpečnostními výzkumníky společností [[F-Secure]] a [[Symantec]], a poté nahlášen do [[US-CERT\|ICS-CERT]] v roce 2014.<ref>{{Citace ~~Společnost~~elektronického [[US-CERT\|ICS-CERT]] zaznamenala novou kampaň zaměřující se na vybavení spadající do operačních technologií využívající hned několika metod a využívající protokol OPC pro provádění průzkumu sítě operačních technologií k výběru cíle.periodika \| titul = Cyber espionage campaign based on Havex RAT hit ICS/SCADA systems \| periodikum = Security Affairs #\| url = https://securityaffairs.co/wordpress/26092/cyber-crime/cyber-espionage-havex.html▼ \| datum vydání = 2014-06-25 \| jazyk = en-US \| datum přístupu = 2021-04-22 }}</ref>. Společnost [[US-CERT\|ICS-CERT]] zaznamenala novou kampaň zaměřující se na vybavení spadající do operačních technologií využívající hned několika metod a využívající protokol OPC pro provádění průzkumu sítě operačních technologií k výběru cíle<ref name=":0" />. == Popis == Malware Havex má dvě hlavní komponenty: trojského koně pro umožnění vzdáleného přístupu do systému (RAT) a [[Řídící server pro malware\|řídící server pro malware (tzv. C&C server)]] napsaný v jazyce [[PHP]]<ref>{{Citace elektronického periodika \| titul = ICS Focused Malware (Update A) {{!}} CISA \| periodikum = us-cert.cisa.gov \| url = https://us-cert.cisa.gov/ics/alerts/ICS-ALERT-14-176-02A \| datum přístupu = 2021-04-22 }}</ref>. Havex také obsahuje skenovací modul pro OPC (Open Platform Communications) pro vyhledávání průmyslových zařízení v síti<ref name=":0" />. Skenovací modul byl navržen tak, aby [[Skenování portů\|skenoval]] zařízení na portech 44818 ([[Ethernet/IP]]), 105 (trojský kůň NetRe) a 502 (protokol [[Modbus]]). Výzkumnící v SANS zjistili, že se jedná o velmi rozšířené porty pro automatizační jednotky Siemens a Rockwell. Zneužívaním protokolu OPC, Havex dokáže mapovat průmyslové systémy v okamžik, jakmile se dostane na počítač oběti. Výzkumníci též zaznamenali, že skenovací modul OPC používal pouze starší verzi standardu založené na protokolu DCOM, a tedy není kompatibilní s modernější [[OPC Unified Architecture\|OPC Unified Architecture (OPC UA)]]. == Zaměření a oběti == Řádek 12 ⟶ 35: == Reference == <references /> ~~# https://www.cyber.nj.gov/threat-profiles/ics-malware-variants/havex~~ ▲# https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html {{Překlad\|en\|Havex\|1017996789}} ▲# https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-176-02A ▲# https://securityaffairs.co/wordpress/26092/cyber-crime/cyber-espionage-havex.html ~~# https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/Dragonfly_Threat_Against_Western_Energy_Suppliers.pdf~~ [[Kategorie:Malware]]

Havex: Porovnání verzí