03/12/21
В одном лишь первом полугодии 2020 года было обнаружено четыре разных вредоносных фреймворка, предназначенных для атак на физически изолированные сети, а общее число этих инструментов, прокладывающих злоумышленникам путь к кибершпионажу и похищению секретной информации, за 15 лет достигло 17.
«Все фреймворки предназначены для определенных форм шпионажа, и все фреймворки используют USB-накопители как физическое средство передачи данных в и из целевых физически изолированных сетей», - рассказали исследователи ESET Алексис Дораис-Йонкас (Alexis Dorais-Joncas) и Факундо Муньос (Facundo Muñoz) в новом исследовании.
Поскольку физическая изоляция является одним из самых распространенных способов защиты SCADA-систем и АСУ ТП, финансируемые государством APT-группы все чаще обращают внимание на критически важную инфраструктуру в надежде внедрить в физически изолированные сети вредоносное ПО для наблюдения за интересующими их целями.
Как сообщают специалисты ESET, фреймворки в основном предназначены для атак на компьютеры под управлением Windows. Не менее 75% фреймворков используют вредоносные файлы LNK или AutoRun на USB-накопителях либо для первоначальной компрометации физически изолированных систем, либо для бокового перемещения в физически изолированных сетях.
Специалистам удалось связать некоторые фреймворки с известными APT-группировками:
- Retro – DarkHotel (она же APT-C-06 или Dubnium);
- Ramsay – DarkHotel;
- USBStealer – APT28 (она же Fancy Bear, Sednit или Sofacy);
- USBFerry – Tropic Trooper (она же APT23 или Pirate Panda);
- Fanny – Equation Group;
- USBCulprit – Goblin Panda (она же Hellsing или Cycldek);
- PlugX – Mustang Panda;
- Agent.BTZ – Turla Group.
«Каждый фреймворк работает по-своему, но у них есть одна общая черта – они все, без исключения, используют вредоносные USB-накопители. Главное отличие между подключенными и offline-фреймворками заключается в том, каким образом была модифицирована сама флэшка», - сообщили исследователи.
Подключенные фреймворки работают путем развертывания вредоносного компонента в подключенной системе, которая мониторит подключение новых USB-накопителей и автоматически размещает вредоносный код, необходимый для взлома физически изолированной системы. В случае с offline-фреймворками наподобие Brutal Kangaroo, EZCheese и ProjectSauron для осуществления атаки злоумышленники должны заразить вредоносом собственные USB-накопители.
В качестве мер предосторожности организациям с критическими информационными системами рекомендуется заблокировать на подключенных системах доступ к электронной почте, отключить USB-порты, «дезинфицировать» USB-накопители, ограничить выполнение файлов на съемных дисках и регулярно проводить экспертизу изолированных систем на предмет признаков подозрительной активности.
