Recentemente, pesquisadores da empresa de segurança FireEye descobriram uma nova variante do Trojan Havex de acesso remoto que tem capacidade de OPC ativamente varredura (Object Linking and Embedding for Process Control) servidores, usado no controle de sistemas (Controle de Supervisão e Aquisição de Dados) SCADA em infra-estrutura crítica , de energia e setores industriais.
OPC é um padrão de comunicação que permite a interação entre SCADA baseado em Windows ou outros sistemas de controle industrial aplicações (ICS) e hardware de controle de processo. Nova variante Havex reúne informações do sistema e dados armazenados em um cliente comprometido ou servidor usando o padrão OPC. OPC é generalizada e é um dos protocolos mais comuns ICS.
"Atores Threat alavancaram o Havex em ataques em todo o setor de energia há mais de um ano, mas a extensão total de indústrias e sistemas ICS afetadas por Havex é desconhecida", escreveram os pesquisadores da FireEye em um post de blog. "Decidimos examinar o componente de varredura OPC de Havex mais de perto, para entender melhor o que acontece quando ele é executado e as possíveis implicações."
Pesquisadores criar um ambiente típico de servidor OPC para conduzir um teste em tempo real da funcionalidade do novo variante. ICS ou sistemas SCADA consistem em software cliente OPC que interage diretamente com um servidor OPC, que trabalha em conjunto com o PLC (Controlador Lógico Programável) para o controle de hardware industrial.
Uma vez depois de entrar em rede, o downloader Havex chama a função de exportação RunDll e depois inicia a digitalização de servidores OPC na rede SCADA.
Para identificar servidor OPC de potencial, o módulo Scanner OPC usar a rede do Windows (WNet) funções, ou seja, WNetOpenEnum e WNetEnumResources, que enumera os recursos de rede ou conexões existentes.
"O scanner cria uma lista de todos os servidores que são globalmente acessível através de rede do Windows", escreveu pesquisadores. "A lista de servidores é então verificado para determinar se algum deles hospeda uma interface para os modelos de objeto componente (COM)."
Usando varredura OPC, a nova variante Havex poderia reunir quaisquer detalhes sobre os dispositivos conectados e envia-los de volta para o servidor de comando e controle para os atacantes para analisar. Afigura-se que esta nova variante é utilizada como uma ferramenta para a recolha de informação futura.
Até agora, os pesquisadores não viram nenhuma tentativa de controlar o hardware conectado. O caminho de ataque, o desenvolvedor ea intenção por trás do desenvolvimento do malware ainda não é conhecida, mas os pesquisadores estão investigando e tentando reunir todas as informações sobre a nova variante.
Fonte: TheHackerNews