Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS rendszereket támadó csoportok XIX

Kostovite

2022. október 01. - icscybersec

Az APT csoportot, aminek később a Kostovite nevet adták, a Dragos kutatói 2021. márciusában fedezték fel, amikor egy megújuló erőműveket üzemeltető globális vállalat rendszereit vizsgálták. A vizsgálat alapján a Kostovite a Pulse Secure (újabban már Ivanti Connect Secure néven) ismert VPN-megoldás illetve QNAP hálózati storage eszközök 0-day sérülékenységeit kihasználva szerezte az első hozzáféréseket a célba vett rendszerekben. A Kostovite tagjai magas szintű műveleti fegyelemről tettek tanúbizonyságot (a korábbi tapasztalatok, pl. Duqu 2.0 alapján ez katonai vagy titkosszolgálati hátterű csapatra utalhat - ez már az én véleményem, nem a Dragos-é, persze bizonyítékom erre vonatkozóan nincs, inkább csak egy megérzés).

A Kostovite célpontonként egyedi támadói infrastruktúrát szokott használni (így nehezebb egyes, az infrastruktúrára jellemző IoC-k alapján felismerni egy új célpont esetén, hogy már célba vették vagy éppen kompromittálták is az áldozatot). ICS biztonsági szempontból a Kostovite bizonyított (ICS Cyber Kill Chain szerinti) 2. szintű képességekkel rendelkezik és be tudnak hatolni OT hálózatokban és eszközökbe is.

A Kostovite APT-csoportról további részleteket a Dragos weboldalán lehet olvasni: https://www.dragos.com/threat/kostovite/

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr517917865

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása