Hakerzy atakują zakłady bioprodukcyjne za pomocą złośliwego oprogramowania Tardigrade
BIO ISAC to międzynarodowa organizacja, która zajmuje się zagrożeniami charakterystycznymi dla biogospodarki i umożliwia koordynację działań pomiędzy zainteresowanymi stronami w celu stworzenia solidnego i bezpiecznego przemysłu.
BIO ISAC rozpoczął dochodzenie po ataku ransomware wymierzonym w zakład bioprodukcyjny wiosną 2021 roku i scharakteryzował Tardigrade jako wyrafinowany złośliwy program o „wysokim stopniu autonomii, a także możliwościach metamorficznych”. To samo złośliwe oprogramowanie zostało następnie wykorzystane do zaatakowania drugiego podmiotu w październiku 2021 r.
„Aktywnie rozprzestrzeniające się” włamania nie zostały przypisane konkretnej grupie APT, ale istnieją przesłanki wiążące poprzednie ataki grupy hakerskiej powiązanej z Rosją.
Rozpowszechniany za pośrednictwem wiadomości phishingowych lub zainfekowanych dysków przenośnych USB, Tardigrade to zaawansowana odmiana SmokeLoadera, backdoora w systemie Windows obsługiwanego przez grupę znaną jako Smoky Spider i dostępnego w sprzedaży na rynkach Dark Net od 2011 roku. Smoky Spider posiada możliwości przechwytywania naciśnięć klawiszy, uzyskiwania dostępu w zhakowanej sieci i eskalacji uprawnień.
Co więcej, złośliwe oprogramowanie działa jako punkt wejścia dla dodatkowych elementów złośliwego oprogramowania i jest zaprojektowane tak, aby działało autonomicznie, nawet gdy jest odcięte od macierzystego serwera dowodzenia i kontroli, w celu wykonywania złośliwych działań. Organizacjom z branży bioprodukcyjnej zaleca się stosowanie aktualizacji oprogramowania, egzekwowanie segmentacji sieci i testowanie kopii zapasowych w trybie offline dla krytycznej infrastruktury w celu ograniczenia zagrożeń.
„To złośliwe oprogramowanie jest niezwykle trudne do wykrycia ze względu na zachowanie metamorficzne. Ważna jest czujność na kluczowych komputerach korporacyjnych personelu” – wskazali naukowcy, dodając „Wiele maszyn w sektorze używa przestarzałych systemów operacyjnych. Segmentuj je agresywnie i przyspiesz aktualizację”.