Het Amerikaanse ministerie van Binnenlandse Veiligheid en de FBI hebben een waarschuwing afgegeven voor gerichte aanvallen tegen de vitale infrastructuur. De aanvallers hebben het voorzien op overheidsinstellingen en organisaties in verschillende sectoren, waaronder energie, water, luchtvaart en vitale productie. Volgens de waarschuwing vinden de aanvallen al zeker sinds mei plaats en zijn die in verschillende gevallen succesvol geweest.
Om toegang tot de netwerken te krijgen richten de aanvallers zich eerst op een toeleverancier of andere derde partij met minder goed beveiligde netwerken. Zodra deze netwerken zijn gecompromitteerd gebruiken de aanvallers hun toegang om daarvandaan het oorspronkelijke doelwit aan te vallen. De aanvallen bestaan uit verschillende fases. Tijdens de eerste fase wordt er informatie van bedrijfssites verzameld. Als voorbeeld geeft de FBI een kleine foto die door de aanvallers van de human resources-pagina van het bedrijf werd gedownload. Het bleek echter om een foto in hoge resolutie te gaan die controlesystemen, modellen en statusinformatie in de achtergrond weergaf.
De gevonden informatie wordt gebruikt voor de tweede fase; het versturen van spearphishingmails. Deze e-mails bevatten Word-documenten die automatisch inloggegevens van de gebruiker proberen te stelen door verbinding met een SMB-server te maken om daar een template te downloaden. Hierbij wordt de wachtwoordhash van de gebruiker naar de remote server gestuurd. Volgens de FBI proberen de aanvallers waarschijnlijk deze hash te kraken om zo het wachtwoord van de gebruiker te achterhalen.
Tijdens de derde fase sturen de aanvallers opnieuw kwaadaardige e-mails, dit keer met links die naar malware wijzen of kwaadaardige Word-documenten als bijlage hebben. Ook komt het voor dat er zogeheten watering hole-aanvallen worden ingezet. Hierbij hacken de aanvallers websites die potentiële doelwitten uit zichzelf bezoeken. Het gaat dan bijvoorbeeld om websites over de vitale infrastructuur. Kwaadaardige code die de aanvallers aan deze websites toevoegen probeert om via een SMB-verbinding inloggegevens te stelen.
Zodra een systeem is besmet worden er aanvullende tools gedownload. Ook worden er op de systemen van gehackte toeleveranciers accounts aangemaakt die zich als legitieme service-accounts voordoen. Om op afstand verbinding met gehackte systemen te maken, maken de aanvallers gebruik van diensten zoals VPN, RDP en Outlook Web Access (OWA). In de waarschuwing geven de FBI en het ministerie zogeheten indicators of compromise (IOC's). Dit zijn technische details die op een infectie kunnen duiden. Ook worden allerlei beveiligingsadviezen en detectie- en preventiemaatregelen gegeven. Wie er achter de aanvallen zitten wordt niet vermeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.