#HomeOffice – a bezpieczeństwo OT/IoT w dobie COVID-19

By Kwiecień 29, 2020 Nozomi, Wydarzenia

Pandemia koronawirusa, obok licznych następstw gospodarczych i sanitarnych, wywołała gigantyczną zmianę w kulturze organizacyjnej firm: setki tysięcy osób od ponad miesiąca pracują zdalnie. Przejście na taki tryb pracy musiało dokonać się niemalże z dnia na dzień – wystąpiła więc konieczność pospiesznego wprowadzenia zmian w dostosowaniu konfiguracji dostępów. W wielu miejscach pracownicy używają prywatnych urządzeń i niezabezpieczonych połączeń w sieciach domowych.

Jednak nawet osoby, które pracują tak samo, jak przed pandemią, odczuwają niepokój. Nie jest jasne, kiedy skończy się stan zagrożenia epidemiologicznego, a zatem gorliwiej niż zwykle poszukują informacji i tracą czujność, klikając w podejrzane linki czy wiadomości.

Z obu wspomnianych powyżej sytuacji korzystają cyberprzestępcy. Od początku marca liczba ataków hakerskich systematycznie rośnie. Potwierdzają to m.in. obserwacje Interpolu.

Aktywność cyberprzestępców przyjmuje różne formy. Często są to celowane ataki do wybranych grup. Jednym z przykładów działalności cyberprzestępców jest odnotowana przez laboratoria Nozomi Networks wzmożona aktywność z wykorzystaniem złośliwego oprogramowania Chinoxy Backdoor. Atak jest najczęściej oparty na rozsyłanym w e-mailach pliku w formacie RTF i bazuje na podatności CVE-2017-11882. Treść zainfekowanego dokumentu informuje o pomocy w walce z COVID-19, udzielonej rządowi Kirgistanu przez ONZ.

Kliknij, aby powiększyć

Gdy ofiara ataku otworzy plik, na jej urządzeniu w kilku krokach zainstaluje się złośliwy program. Urządzenie przez port protokołu 443 komunikuje się z serwerem C&C (Command & Control Server), który dołącza zainfekowany komputer do sieci botów. Umożliwia to prowadzenie zorganizowanych i szkodliwych działań, dowodzonych przez cyberprzestępców.

Specjaliści Nozomi Networks stworzyli i opublikowali regułę z rodziny SNORT, która pozwala na wykrywanie aktywności sieciowej spowodowanej atakiem Chinoxy Backdoor. Regułę wraz z jej najnowszymi aktualizacjami można za darmo pobrać ze strony COVID-19 Cybersecurity lub z GitHuba.

Powyższa sytuacja i opisany malware to zaledwie jeden z wielu przykładów na to, jak cyberprzestępcy wykorzystują czas pandemii. Nawet wdrożenie dobrych zabezpieczeń nie kończy walki – trzeba je stale aktualizować, ponieważ atakujący nie ustają w rozwijaniu taktyki, nowych narzędzi i sposobów ataku. Dlatego bezpieczeństwo informatyczne wymaga monitorowania sieci w czasie rzeczywistym – zwłaszcza, że zainteresowanie cyberprzestępców budzi także, a może przede wszystkim, infrastruktura przemysłowa. Próbują oni wykorzystać fakt poluzowania ograniczeń w separacji podsieci OT/IoT.

Laboratoria Nozomi Networks obserwują na bieżąco wzmożoną aktywność hakerską, wykrywają nowe zagrożenia i próby ataków. Uczestniczą w analizie zdarzeń i anomalii, tworzą i publicznie udostępniają reguły wspierające bezpieczeństwo w dobie pandemii. Mogą być one wykorzystywane w narzędziach, które pozwalają na analizę ruchu sieciowego. W obszarze bezpieczeństwa sieci przemysłowych można z nich korzystać w programie Guardian, a część z nich jest również dostępna w darmowej wersji programu Guardian Community Edition™.

Zachęcamy do wypróbowania darmowej wersji Guardian Community Edition™. W ramach oferty otrzymasz:

  • Możliwość udziału w webinarze na temat Guardian Community Edition
  • Pomoc w dostępie do wersji testowej GCE
  • Wsparcie specjalistów w przygotowaniu planu instalacji GCE
  • Asystę naszych ekspertów w ramach analizy inicjalnego przeglądu infrastruktury
  • Dodatkowe informacje na temat pozostałych produktów z rodziny Nozomi Networks
  • Dostęp do preferencyjnego planu konsultacji w zakresie uruchomienia i analizy

Chcesz dowiedzieć się więcej? Zapraszamy do udziału w webinarium, podczas którego na żywo przedstawimy zestaw reguł od Nozomi Networks, pozwalających na skuteczne wykrywanie zagrożeń. Odbędzie się ono 6 maja (środa) o 12:00.

Szczegóły i rejestracja