24. 06. 2014

Předcházející verze tohoto malware z loňského roku byla zacílena na systémy společností pracujících v odvětví energetiky. V současnosti se malware zaměřuje i na organizace, které používají nebo vyvíjejí průmyslové aplikace a zařízení. Velká část obětí tohoto malware pochází především z Evropy a jen malá část z USA. Bezpečnostní společnost F-Secure nejmenovala postižené společnosti, ale uvedla, že tři z nich jsou původem z Německa, Švýcarska a Belgie. Tyto společnosti se zabývají systémy pro vzdálenou správu ICS systémů a výrobou přesných průmyslových kamer s vysokým rozlišením. Z jiných zdrojů vyplynulo, že problém byl identifikován i v České republice.

Pro nakažení systému útočníci využili několik způsobů šíření. Prvním z nich je e-mailová komunikace, kdy oběť obdrží nevyžádanou zprávu ve formě phishingu nebo spamu. Druhým vektorem jsou „Exploit kity“. Jako třetí je použita metoda označovaná jako „Watering Hole“, kdy na základě pozorování oběti dochází k infikování určitých webových stránek, které oběť navštěvuje. Následně je při návštěvě těchto stánek oběť nakažena.

Výzkumem bylo zjištěno, že nejvíce využívanou metodou je „Watering Hole“, kdy útočníci infikovali malwarem „Havex RAT“ instalátory průmyslových aplikací na webových stránkách výrobce. Instalátor v průběhu instalace spustil soubor mbcheck.dll, jenž byl identifikován jako „Havex RAT“. Více podrobností můžete nalézt zde.

Odkazy

http://www.pcworld.com/article/2367240/new-havex-malware-variants-target-industrial-control-system-and-scada-users.html
http://www.f-secure.com/weblog/archives/00002718.html
http://en.wikipedia.org/wiki/Watering_Hole