Hinterhältige „Tardigrade“-Schadsoftware trifft Biomanufacturing-Anlagen
[ad_1]
Wenn Ransomware zuschlägt einer Bioproduktionsanlage in diesem Frühlingszeit, stimmte irgendetwas mit dem Reaktionsteam nicht. Die Angreifer hinterließen nur eine halbherzige Lösegeldforderung und schienen nicht sonderlich daran schaulustig zu sein, tatsächlich eine Zahlung einzuziehen. Dann war da noch die Schadsoftware, die sie verwendet hatten: eine erschreckend ausgeklügelte Sorte namens Tardigrade.
Qua die Forscher des biomedizinischen und Cybersicherheitsunternehmens BioBright weiter gruben, entdeckten sie, dass Tardigrade mehr tat, denn nur Computer in jener gesamten Institution zu zeitweilig ausschließen. Sie fanden hervor, dass sich die Schadsoftware an ihre Umgebung individuell herrichten, sich verbergen und sogar autonom operieren könnte, wenn sie von ihrem Command-and-Control-Server abgeschnitten ist. Dies war irgendetwas Neues.
Heute veröffentlicht dies gemeinnützige Bioeconomy Information Sharing and Analysis Center (BIO-ISAC), dessen Mitglied BioBright ist, Ergebnisse oben Tardigrade. Sie zeugen zwar keine Zuschreibung darüber, wer die Schadsoftware entwickelt hat, sagen jedoch, dass ihre Vollendung und andere digitale forensische Hinweise gen eine gut finanzierte und motivierte Posten „fortgeschrittener persistenter Bedrohungen“ hindeuten. Darüber hinaus verbreitet sich die Schadsoftware „in Betrieb“ in jener bioproduzierenden Industrie.
„Dies hat mit ziemlicher Sicherheit mit Spionage begonnen, trotzdem es hat was auch immer getroffen – Störung, Zerstörung, Spionage und all dies“, sagt Charles Fracchia, Vorsitzender des Vorstands von BioBright. „Es ist im Zusammenhang weitem die ausgefeilteste Schadsoftware, die wir in diesem Zuständigkeitsbereich gesehen nach sich ziehen. Dies ähnelt gen unheimliche Weise anderen Angriffen und Kampagnen nationalstaatlicher APTs, die gen andere Branchen abzielen.“
Während sich die Welt drum bemüht, modernste Impfstoffe und Medikamente zur Bekämpfung jener Covid-19-Weltweite Seuche zu gedeihen, herzustellen und zu vertreiben, wurde die Wichtigkeit jener Bioherstellung voll zur Geltung gebracht. Fracchia lehnte es ab, sich dazu zu vermerken, ob die Todesopfer im Zusammenhang mit Covid-19 funktionieren, betonte jedoch, dass ihre Prozesse eine entscheidende Rolle spielen.
Die Forscher fanden hervor, dass Tardigrade eine gewisse Ähnlichkeit mit einem beliebten Schadsoftware-Downloader namens Smoke Loader aufweist. Dies zweite Geige denn Dofoil bekannte Tool wird seither mindestens 2011 oder früher zur Verbreitung von Schadsoftware-Payloads verwendet und ist in kriminellen Foren leichtgewichtig verfügbar. Im Jahr 2018 verhinderte Microsoft eine große Kryptowährungs-Mining-Kampagne, im Zusammenhang jener Smoke Loader verwendet wurde, und die Sicherheitsfirma Proofpoint veröffentlichte im Juli Erkenntnisse oben zusammenführen Datendiebstahlangriff, jener den Downloader denn legitimes Datenschutztool tarnte, um Todesopfer zur Installation zu verleiten. Angreifer können die Funktionsvielfalt jener Schadsoftware mit einer Warteschlange von vorgefertigten Plug-Ins individuell herrichten und sie ist hierfür prominent, sich mit cleveren technischen Tricks zu verstecken.
Die BioBright-Forscher sagen, dass Tardigrade trotz jener Ähnlichkeiten mit Smoke Loader fortschrittlicher zu sein scheint und eine erweiterte Palette von Anpassungsoptionen bietet. Es fügt zweite Geige die Funktionsvielfalt eines Trojaners hinzu, welches bedeutet, dass es nachher jener Installation in einem Opfernetzwerk nachher gespeicherten Passwörtern sucht, zusammenführen Keylogger einsetzt, mit dem Exfiltrieren von Datenmaterial beginnt und eine Hintertür zu Händen Angreifer einrichtet, um ihr eigenes Spannung zu wählen.
„Sie Schadsoftware ist so konzipiert, dass sie sich in verschiedenen Umgebungen unterschiedlich entwickelt, sodass sich die Signatur ständig ändert und schwerer zu wiedererkennen ist“, sagt Callie Churchwell, Schadsoftware-Analystin im Zusammenhang BioBright. „meine Wenigkeit habe es weitestgehend 100 Mal getestet und jeweils hat es sich andersartig aufgebaut und andersartig kommuniziert. Wenn es nicht in jener Position ist, mit dem Command-and-Control-Server zu kommunizieren, kann es außerdem autonomer und autarker sein, welches völlig unerwartet war.“