РБК Компании

Kaspersky выявила серию целевых кибератак на предприятия Восточной Европы

В ходе атак злоумышленники стремились обойти защитные решения и использовали более 15 имплантов, чтобы получить доступ к данным организаций
Kaspersky выявила серию целевых кибератак на предприятия Восточной Европы

«Лаборатория Касперского» завершила расследование серии кибератак на промышленные предприятия в Восточной Европе. Злоумышленники использовали продвинутые тактики, методы и процедуры (TTPs), чтобы скомпрометировать предприятия производственного сектора, а также занимающиеся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Специалисты «Лаборатории Касперского» выяснили, что эта серия целевых атак была направлена на создание постоянного канала кражи данных, в том числе из изолированных от внешнего мира систем. По ряду признаков эта вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые предположительно связаны с группой APT31, также известной как Judgment Panda и Zirconium. Расследование показало, что для получения удаленного доступа к системам жертв, сбора и кражи данных использовалось более 15 различных имплантов. Они позволяли создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищенных систем. Злоумышленники продемонстрировали обширные знания и опыт в обходе мер безопасности.

Инструментарий и тактики атакующих

Злоумышленники активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL -подмена подразумевает использование легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации данных и доставки вредоносного ПО использовались облачные сервисы для хранения информации и платформы для обмена файлами. Злоумышленники развертывали инфраструктуру управления и контроля (C2) скомпрометированных систем в облачной платформе и на частных виртуальных серверах.

Также в атаках использовались новые версии вредоносного ПО FourteenHi. Впервые оно было обнаружено в 2021 году в ходе кампании ExCone, которая была нацелена на госучреждения. Годом позже появились новые варианты программ этого семейства. Они использовались в атаках на промышленные организации.

Кроме того, в ходе расследования был обнаружен новый имплант, который получил название MeatBall. Он предоставлял обширные возможности для удаленного доступа.

Другая отличительная особенность — то, что атакующие копировали данные из изолированных компьютерных сетей через последовательное заражение съемных носителей. Это не новая тактика, однако в данном случае ее реализация, по мнению специалистов, оказалась оригинальной и эффективной. Она включала как минимум четыре различных модуля:

  • модуль работы со съемными носителями и сбором информации о них;
  • модуль заражения съемного носителя;
  • модуль сбора и сохранения данных на зараженном носителе;
  • модуль заражения и сбора информации с удаленного компьютера.

«Нельзя недооценивать серьезность последствий целевых атак на промышленный сектор. Поскольку многие организации начинают или продолжают активную цифровизацию, стоит учитывать и пропорционально возрастающие риски атак на критически важные системы. Факт, что злоумышленники находят способы добраться до наиболее защищенных систем промышленных предприятий, говорит о том, насколько важно следовать лучшим практикам обеспечения кибербезопасности, включая обучение сотрудников, получение, анализ и правильное использование информации об актуальных угрозах, внедрение специализированных решений для защиты промышленной инфраструктуры», — комментирует Кирилл Круглов, старший разработчик-исследователь в Kaspersky ICS CERT.

Ознакомиться с отчетом команды исследователей Kaspersky ICS CERT можно на сайте.

Чтобы защитить АСУ ТП от киберугроз, специалисты рекомендуют:

  • регулярно проводить оценку безопасности OT-систем, чтобы выявить и устранить возможные проблемы;
  • предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз. Сервис ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также о наиболее уязвимых элементах ОТ и о том, как повысить их устойчивость к атакам;
  • использовать интегрированные защитные решения, такие как промышленная XDR-платформа Kaspersky Industrial CyberSecurity c возможностями обнаружения и автоматизированного реагирования на разнообразные угрозы системам технологической сети;
  • проводить тренинги для ИБ-специалистов и технических специалистов всех профилей, занятых на различных производственных участках предприятия и имеющих доступ к автоматизированным системам, чтобы предотвращать и своевременно обнаруживать инциденты компьютерной безопасности и улучшать качество противодействия различным, в том числе новым и продвинутым, техникам и тактикам атакующих.

О Kaspersky ICS CERT

Kaspersky Industrial Systems Emergency Response Team — глобальный проект «Лаборатории Касперского», нацеленный на координацию действий производителей систем автоматизации, владельцев и операторов промышленных объектов, исследователей информационной безопасности при решении задач защиты промышленных предприятий и объектов критически важных инфраструктур. Эксперты Kaspersky ICS CERT предоставляют аналитические данные о киберугрозах и уязвимостях в информационных системах, а также делятся экспертизой в области соответствия законодательным нормам. Узнать больше можно на сайте.

Последнее изменение: 4 августа 2023

Интересное:

Новости отрасли:

Все новости:

Профиль

Дата регистрации26.06.1997
Уставной капитал100 000,00 ₽
Юридический адрес Г.Москва Ш. ЛЕНИНГРАДСКОЕ Д. 39А СТР. 2
ОГРН 1027739867473
ИНН / КПП 7713140469 774301001

Контакты

Адрес 125212, Россия, г. Москва, Ленинградское шоссе, д. 39 А, стр. 3, БЦ «Олимпия Парк»

Социальные сети