El malware Havex , también conocido como Backdoor.Oldrea, es una RAT empleada por el grupo APT con atributos rusos " Energetic Bear " o "Dragonfly " . en la última década. Estos programas maliciosos incluyen Stuxnet , BlackEnergy , Industroyer/CRASHOVERRIDE y TRITON/TRISIS . [3] Energetic Bear comenzó a utilizar Havex en una campaña de espionaje generalizada dirigida a los sectores de energía, aviación, farmacéutico, defensa y petroquímico. [1]La campaña se dirigió a las víctimas principalmente en los Estados Unidos y Europa. [2]
El malware Havex fue descubierto por investigadores de seguridad cibernética en F-Secure y Symantec e informado por ICS-CERT utilizando información de ambas firmas en 2013. [4] [5] ICS-CERT Alert informó que analizó una nueva campaña de malware dirigida a equipos ICS a través de varios vectores de ataque y utilizando OPC para realizar reconocimientos en equipos industriales en la red de destino. [2]
El malware Havex tiene dos componentes principales: una RAT y un servidor C&C escrito en PHP. [4] Havex también incluye un módulo de escaneo OPC ( Open Platform Communications ) que se utiliza para buscar dispositivos industriales en una red. [2] El módulo de escaneo OPC fue diseñado para buscar dispositivos TCP que operen en los puertos 44818, 105 y 502. [6] Los investigadores de SANS notaron que estos puertos son comunes a las compañías ICS/SCADA como Siemens y Rockwell Automation. [6] Al abusar del protocolo OPC , Havex mapeó redes industriales una vez dentro de los sistemas de las víctimas. [7] Los investigadores notaron que el módulo de escaneo OPC solo funcionaba en el DCOM anteriorbasado en el estándar OPC (modelo de objetos de componentes distribuidos) y no en la arquitectura unificada (UA) de OPC más reciente. [2] Havex se une a la categoría de malware adaptado a ICS porque está escrito para llevar a cabo la recopilación de información en estos sistemas específicos. Havex también aprovechó los ataques a la cadena de suministro y al pozo de agua en los sitios web de los proveedores de ICS, además de las campañas de phishing para obtener acceso a los sistemas de las víctimas. [5] [6] El abrevadero y los ataques a la cadena de suministro tenían una metodología doble. En el primer método, las víctimas eran redirigidas desde sitios web de proveedores legítimos a páginas corruptas que contenían el malware Havex. [1]En el segundo método, los atacantes comprometieron sitios web de proveedores vulnerables y corrompieron software legítimo para inyectar Havex RAT. Los usuarios, sin saberlo, descargarían el malware al descargar software legítimo de los sitios web de los proveedores. [6] Este método permitió que el malware eludiera las medidas de seguridad tradicionales porque los usuarios descargaban el software con autorización para instalar programas en la red. Los proveedores comprometidos conocidos fueron MESA Imaging, eWON/Talk2M y MB Connect Line. [8]Si bien los vectores de ataque estaban dirigidos a las redes comerciales, la falta de espacios de aire sólidos en muchos entornos ICS podría permitir que el malware como Havex salte fácilmente de las redes comerciales a las redes industriales e infecte los equipos ICS/SCADA. Havex, al igual que otros programas maliciosos de puerta trasera, también permite la inyección de otros códigos maliciosos en los dispositivos de las víctimas. Específicamente, Havex se usaba a menudo para inyectar la carga útil de Karagany en dispositivos comprometidos. Karagany podría robar credenciales, tomar capturas de pantalla y transferir archivos hacia y desde los servidores Dragonfly C&C. [6]
El grupo Dragonfly utilizó el malware Havex en una campaña de espionaje contra la energía y la aviación. víctimas farmacéuticas, de defensa y petroquímicas principalmente en los Estados Unidos y Europa. [1] Los investigadores de seguridad cibernética de Dragos estimaron que la campaña se dirigió a más de 2000 sitios en estas regiones y sectores. [9] Los investigadores de Symantec observaron que el malware Havex comenzó a buscar objetivos de infraestructura energética después de apuntar inicialmente a los sectores de defensa y aviación de EE. UU. y Canadá. [10] Durante el proceso de descubrimiento, los investigadores examinaron 146 servidores C&C asociados con la campaña Havex y 88 variantes del malware. [11]