Emanuele De Lucia : 20 Aprile 2022 08:23
Autore: Emanuele De Lucia
Data Pubblicazione: 18/04/2022
Pochi giorni fa, una nuova variante di un malware del ceppo Industroyer è stata impiegata durante un attacco informatico condotto contro i sistemi di controllo industriale (ICS) responsabili della gestione dei sottosistemi delle centrali elettriche in Ucraina .
Questa nuova versione è stata denominata Industroyer2 e rappresenta l’evoluzione di una famiglia di malware già osservata a dicembre 2016 che lavora contro obiettivi simili.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] ![]() Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Questo tipo di attacco è stato segnalato dopo una lunga serie di altri attacchi contro organizzazioni ed entità ucraine che generalmente prevedevano l’uso di wiper, backdoor e attacchi DDoS .
Ho dato un’occhiata al file identificato con le seguenti caratteristiche:
Tipo | Valore |
MD5 | 7c05da2e4612fca213430b6c93e76b06 |
SHA1 | fdeb96bc3d4ab32ef826e7e53f4fe1c72e580379 |
SHA256 | d69665f56ddef7ad4e71971f06432e59f1510a7194386e5f0e8926aea7b88e00 |
Si tratta di un Portable Executable (PE) x86 a 37,00 Kb di dimensioni 32-bit compilato mercoledì 23 marzo 2022 10:07:29 come prova riportata di seguito
Fondamentalmente, il malware è progettato per leggere alcune voci di configurazione incorporate al fine di creare messaggi ASDU IEC-104 che gli consentono di interagire con le unità target remote (raggiungibili come indirizzi IP interni) tramite protocollo TCP.
Per ASDU, si intende un’Application Service Data Unit, ovvero un blocco di dati che viene inviato dalla stazione di controllo a una stazione esterna o altro dispositivo, o viceversa, utilizzando il protocollo IEC 60870-5.
Dando un’occhiata al flusso di esecuzione, possiamo vedere che questo malware gestisce due parametri opzionali dalla riga di comando che sono -t e -o come prova dell’estrazione del codice di seguito
Dopo aver analizzato i parametri forniti tramite la CLI, il malware inizia a recuperare le informazioni dalle voci di configurazione incorporate
Queste voci vengono visualizzate come nell’immagine seguente
Ogni voce di configurazione inizia con un indirizzo IP interno (nell’immagine sopra oscurato negli ultimi due ottetti) e una porta, seguito da quattro numeri (potrebbero essere una sorta di flag operativi) un nome di processo e un percorso (in questo caso D: \OIK\DevCounter ).
L’ultimo pezzo è costituito dalle informazioni utilizzate per costruire il messaggio destinato ad essere inviato alle ASDU. Per ciascuna delle voci trovate, il malware va a terminare il processo PServiceControl.exe.
Il nome del processo è codificato all’interno dell’eseguibile.
A questo punto va ad enumerare nuovamente i processi per trovare il nome del processo corrispondente a quello specificato nella voce di configurazione (PService_PPD.exe).
Dopo aver recuperato il percorso D:\OIK\DevCounter e il nome del file PService_PPD.exe , rinominerà il file presente in questo percorso aggiungendo l’ estensione .MZ.
Molto probabilmente questo viene fatto per evitare che qualsiasi attività progettata per il processo “sempre attivo” venga riavviata. Per ogni configurazione embedded viene quindi creato un thread per implementare il protocollo di comunicazione IEC-104.
L IEC-104 estende l’IEC-101 in modo che possa essere trasmesso su una rete TCP/IP . Quindi in ciascuno di questi thread il malware tenterà di comunicare con l’indirizzo IP specificato utilizzando il protocollo descritto nello standard IEC-104 dopo aver ripetuto le voci ASDU nel blocco di configurazione.
In IEC-104 ogni oggetto nell’ASDU ha un indirizzo con delle informazioni. Fondamentalmente, lo scopo principale di questa azione è connettersi all’indirizzo IP specificato e inviare messaggi ASDU predisposti con conseguente stato dell’Information Object Address impostato su ON o OFF .
Facendo un’analisi comparativa con INDUSTROYER (il suo modulo IEC-104) e INDUSTROYER2 è possibile notare molte somiglianze soprattutto nella logica di funzionamento nonostante gli ultimi campioni presentino sicuramente differenze sostanziali rispetto a quelli del 2016.
Tra le somiglianze tecniche a livello di codice è possibile osservare sovrapposizioni nelle funzioni dedicate alla gestione, composizione e controllo dei messaggi ASDU .
Il nuovo eseguibile in alcuni casi unisce alcune stringhe rispetto al campione precedente ottimizzando in alcuni casi il processo di esecuzione globale ma in generale le stringhe che fanno riferimento ai messaggi di debug sono le stesse permettendo alle vecchie regole YARA di corrispondere anche al nuovo campione.
Secondo la prima prima attribuzione, condivisa dai ricercatori ESET e alla luce delle ulteriori evidenze tecniche estratte in questo articolo, la minaccia in questione è da collegare con il threat attore noto come Sandworm (aka BlackEnergy) associato alla Federazione Russa.
Posso sicuramente dire che la famiglia di malware Industroyer è un sofisticato malware utilizzato contro i sistemi di controllo industriale (ICS). I risultati qui riportati sono in linea con le precedenti operazioni già attribuite dalla comunità della sicurezza ai gruppi APT russi e, per quanto ne so, questo è il primo malware compatibile con ICS utilizzato dall’inizio del conflitto tra Russia e Ucraina dopo un lungo serie di attacchi che hanno visto l’uso di wiper, backdoor, in diversi impianti nella fase iniziale e intermedia e attacchi DDoS .
L’uso di questo tipo di malware dovrebbe allertare sul potenziale dei gruppi APT collegati alla Federazione Russa, i quali stanno concentrando i loro sforzi contro i sistemi di controllo industriale (ICS) e la loro volontà di utilizzare questo tipo di “armi digitali” per causare l’interruzione dei servizi critici.
È importante considerare che gli aggressori potrebbero adattare questo malware ad altri target simili e che qualsiasi intrusione contro target di questo tipo è da considerarsi estremamente pericolosa e complessa da mitigare in relazione alla presenza di protocolli nati decenni fa che non hanno contemplato il fattore sicurezza.
RILEVAMENTO
YARA |
rule Sandworm_Industroyer2_76222_00001 : RUSSIAN THREAT GROUP { meta: author = “Emanuele De Lucia” description = “Strings-based threat detection rule for INDUSTROYER2” tlp = “white” date = “2022-04-15” hash1 = “d69665f56ddef7ad4e71971f06432e59f1510a7194386e5f0e8926aea7b88e00” strings: $ = “PServiceControl.exe” $ = “Sent=x%X | Received=x%X” $ = “Cause: %s (x%X) | Telegram type: %s (x%X)” $ = “Length:%u bytes | “ $ = “Unknown APDU format !!!” $ = “%02hu:%02hu:%02hu:%04hu” condition: (uint16(0) == 0x5a4d and all of them) } |
Avevamo già parlato della proposta di regolamento “ChatControl” quasi due anni fa, ma vista la roadmap che è in atto ci troviamo nell’imbarazzo di doverne parlare nuovamente. Sembra però un d...
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...