Byte/RE ИТ-издание

Новости

«Лаборатория Касперского» о серии кибератак на промпредприятия

Безопасность
--> 295

«Лаборатория Касперского» сообщила, что завершила расследование серии кибератак на промышленные предприятия в Восточной Европе. Злоумышленники использовали продвинутые тактики, методы и процедуры (TTP), чтобы скомпрометировать предприятия производственного сектора, а также занимающиеся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Как выяснили специалисты компании, серия целевых атак была направлена на создание постоянного канала кражи данных, в том числе из изолированных от внешнего мира систем. По ряду признаков эта вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые предположительно связаны с группой APT31 (известна также как Judgment Panda и Zirconium). Расследование показало, что для получения удаленного доступа к системам жертв, сбора и кражи данных использовалось более 15 различных имплантов. Они позволяли создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищенных систем.

Злоумышленники активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL-подмена подразумевает использование легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации данных и доставки вредоносного ПО использовались облачные сервисы для хранения информации и платформы для обмена файлами. Злоумышленники развертывали инфраструктуру управления и контроля скомпрометированных систем в облачной платформе и на частных виртуальных серверах.

В атаках также использовались новые версии вредоносного ПО FourteenHi, впервые обнаруженного в 2021 г. в ходе кампании ExCone, нацеленной на госучреждения. Годом позже появились новые варианты программ этого семейства, которые использовались в атаках на промышленные организации.

Кроме того, в ходе расследования обнаружен новый имплант, который получил название MeatBall. Он предоставлял обширные возможности для удаленного доступа.

Другая особенность атак – в том, что атакующие копировали данные из изолированных компьютерных сетей через последовательное заражение съемных носителей. Это не новая тактика, однако в данном случае ее реализация, по мнению специалистов, оказалась оригинальной и эффективной. Она включала как минимум четыре различных модуля:

  • для работы со съемными носителями и сбором информации о них;
  • заражения съемного носителя;
  • сбора и сохранения данных на зараженном носителе;
  • заражения и сбора информации с удаленного компьютера.

Чтобы защитить АСУ ТП от киберугроз, специалисты рекомендуют регулярно проводить оценку безопасности OT-систем; предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз; использовать интегрированные защитные решения.

Вам также могут понравиться

Средства защиты АСУ ТП «Лаборатории Касперского» и «Цифровых решений»

Платформа для работы с приложениями на KasperskyOS

Комплекс «Лаборатории Касперского» для защиты промышленных сетей

Обновленная SIEM-система «Лаборатории Касперского»

«Лаборатория Касперского»: анализ паролей на устойчивость

Кампания кибершпионажа под видом соискателей