Kapeka和Fuxnet：摧毁工业系统的ICS恶意软件

针对欧洲工业控制系统(ICS)和操作技术(OT)环境的危险恶意软件最近先后被发现，“Kapeka”和“Fuxnext”是两国之间长期冲突中出现的最新恶意软件例证。名为“Kapeka”的工具似乎与Sandworm有关，Sandworm是一个多产的俄罗斯国家支持的威胁组织，谷歌的Mandiant安全小组本周将其描述为该国在乌克兰的主要网络攻击单位。芬兰WithSecure的安全研究人员发现了2023年针对爱沙尼亚物流公司和东欧其他目标的攻击中的后门，并将其视为一种活跃且持续的威胁。另一种恶意软件——被形象地称为“Fuxnet”，是乌克兰政府支持的威胁组织Blackjack可能在最近对Moskollector（俄罗斯一家维护着用于监控莫斯科污水系统的大型传感器网络的公司）进行的破坏性攻击中使用的工具。攻击者使用Fuxne 成功破坏了Moskollector网络上他们声称的总共 1,700个（claroty的分析称是500多个）传感器网关。

破坏性ICS恶意软件

名为“Kapeka”的工具似乎与Sandworm有关，Sandworm是一个多产的俄罗斯国家支持的威胁组织，谷歌的Mandiant安全小组本周将其描述为该国在乌克兰的主要网络攻击单位。芬兰WithSecure的安全研究人员发现了2023年针对爱沙尼亚物流公司和东欧其他目标的攻击中的后门，并将其视为一种活跃且持续的威胁。芬兰网络安全公司WithSecure将恶意软件归因于与俄罗斯有关的高级持续威胁(APT)组织，追踪为Sandworm（又名APT44或Seashell Blizzard）。微软正在追踪名为KnuckleTouch的相同恶意软件。安全研究员Mohammad Kazem Hassan Nejad表示：“该恶意软件是一个灵活的后门，具有所有必要的功能，可以作为其运营者的早期工具包，并提供对受害者财产的长期访问。”Kapeka配备了一个植入程序，旨在在受感染的主机上启动并执行后门组件，然后自行删除。Dropper还负责将后门持久化设置为计划任务或自动运行注册表，具体取决于进程是否具有SYSTEM权限。

Kapeka概览

另一种恶意软件——被形象地称为“Fuxnet” ——是乌克兰政府支持的威胁组织 Blackjack 可能在最近对 Moskollector 进行的破坏性攻击中使用的工具。Moskollector 是一家维护着用于监控莫斯科污水系统的大型传感器网络的公司。攻击者使用 Fuxnet 成功破坏了 Moskollector 网络上他们声称的总共 1,700 个传感器网关，并在此过程中禁用了连接到这些网关的约 87,000 个传感器。

ICS安全公司Claroty的漏洞研究总监Sharon Brizinov表示：“Fuxnet ICS恶意软件的主要功能是破坏和阻止对传感器网关的访问，并试图破坏物理传感器。”该公司最近调查了Blackjack的攻击。Brizinov表示，此次攻击的结果是，Moskollector可能必须亲自接触数千台受影响的设备，并逐一更换它们。“为了恢复 [Moskollector]监控和操作莫斯科周围污水系统的能力，他们需要采购并重置整个系统。”

Kapeka和Fuxnet是俄罗斯和乌克兰冲突造成的更广泛网络影响的例子。自2022年2月两国之间的战争爆发以来，甚至早在这之前，双方的黑客组织就开发并使用了一系列恶意软件工具来攻击对方。许多工具，包括擦除器和勒索软件，本质上都具有破坏性或损毁性，主要针对两国的关键基础设施、ICS和OT环境。

但在某些情况下，涉及两国之间长期冲突引发的工具的攻击影响了更广泛的受害者。最值得注意的例子仍然是 NotPetya，这是Sandworm组织最初开发用于乌克兰的恶意软件工具，但最终在2017年影响了全球数以万计的系统。2023年，英国国家网络安全中心(NCSC)和美国美国国家安全局(NSA)警告称，名为“Inknown Chisel”的 Sandworm恶意软件工具集对各地Android用户构成威胁。

Kapeka：GreyEnergy的沙虫替代品？

据WithSecure称，Kapeka是一种新颖的后门，攻击者可以将其用作早期工具包，并在受害者系统上实现长期持久性。该恶意软件包含一个释放器组件，用于将后门释放到目标计算机上，然后自行删除。WithSecure的研究员Mohammad Kazem Hassan Nejad表示：“Kapeka支持所有基本功能，使其能够作为受害者财产中的灵活后门运行。”其功能包括从磁盘读取文件和向磁盘写入文件、执行shell命令以及启动恶意负载和进程（包括本地二进制文件）。“获得初始访问权限后，Kapeka的操作员可以利用后门在受害者的计算机上执行各种任务，例如发现、部署其他恶意软件以及发起下一阶段的攻击，”Nejad说。

据Nejad称，WithSecure能够找到证据，表明与Sandworm和该组织在2018年攻击乌克兰电网时使用的GreyEnergy恶意软件有关。“我们相信Kapeka可能是Sandworm武器库中GreyEnergy的替代品，”Nejad指出。尽管这两个恶意软件样本并非源自相同的源代码，但Kapeka和GreyEnergy之间存在一些概念重叠，就像 GreyEnergy及其前身BlackEnergy之间存在一些重叠一样。Nejad表示：“这表明Sandworm可能会随着时间的推移使用新工具升级其武器库，以适应不断变化的威胁形势。”

Kapeka和GreyEnergy、Prestige之间的重叠

WithSecure公司的报告对Kapeka后门及其功能进行了深入的技术分析，并分析了Kapeka与Sandworm组织之间的联系。其目的是提高企业、政府和更广泛的安全社区的认识。WithSecure已向政府和精选客户提供了报告的高级副本。除了报告之外，他们还发布了根据其研究结果开发的几个工件，包括基于注册表和硬编码的配置提取器、用于解密和模拟后门网络通信的脚本，以及如预期的指标列表妥协、YARA规则和MITRE ATT&CK映射。

Fuxnet：传感器定向攻击工具

与此同时，Clarity的Brizinov将Fuxnet识别为ICS恶意软件，旨在对特定的俄罗斯制造传感器设备造成损害。该恶意软件旨在部署在网关上，用于监控和收集物理传感器的数据，用于火灾警报、气体监控、照明和类似用例。

Brizinov表示：“恶意软件一旦部署，就会通过覆盖NAND芯片并禁用外部远程访问功能来堵塞网关，从而阻止操作员远程控制设备。”  

传感器攻击来了！乌克兰使用破坏性ICS恶意软件“Fuxnet”攻击俄罗斯基础设施

Claroty.com的分析证实，Blackjack攻击者利用这个恶意软件，删除了文件系统、目录、禁用了远程访问服务、每个设备的路由服务，并重写了闪存、破坏了NAND存储芯片、UBI卷以及其他进一步扰乱这些网关运行的行为。最后造成500多个传感器网关的损坏。

然后，一个单独的模块尝试用无用的M-Bus流量淹没物理传感器本身。M-Bus是一种欧洲通信协议，用于远程读取燃气表、水表、电表和其他仪表。Brizinov表示：“Blackjack组织的ICS恶意软件Fuxnet的主要目的之一是在获得传感器网关的访问权限后攻击并摧毁物理传感器本身。”为此，Blackjack选择通过向传感器发送无限数量的M-Bus数据包来模糊传感器。“从本质上讲，BlackJack希望通过无休止地向传感器发送随机 M-Bus数据包，这些数据包将使传感器不堪重负，并可能触发漏洞，从而损坏传感器并将其置于无法操作的状态，”他说。

组织从此类攻击中得到的主要收获是要注意安全基础知识。例如，Blackjack似乎通过滥用设备上的弱凭据获得了对目标传感器网关的root访问权限。他说，这次攻击凸显了为什么“维护良好的口令策略非常重要，确保设备不会共享相同的凭据或使用默认凭据”。“部署良好的网络清理和分段也很重要，确保攻击者无法在网络内部横向移动，并将其恶意软件部署到所有边缘设备。”

参考资源

1、https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine

2、https://thehackernews.com/2024/04/russian-apt-deploys-new-kapeka-backdoor.html

3、https://www.withsecure.com/en/whats-new/pressroom/withsecure-uncovers-kapeka-a-new-malware-with-links-to-russian-nation-state-threat-group-sandworm

4、https://claroty.com/team82/research/unpacking-the-blackjack-groups-fuxnet-malware

原文始发于微信公众号（CNCERT国家工程研究中心）：Kapeka和Fuxnet：摧毁工业系统的ICS恶意软件