17/03/25
С 2024 года группа SideWinder стала совершать сложные целевые кибератаки (APT) на объекты атомной отрасли в Южной Азии, включая АЭС и агентства по атомной энергии. Это обнаружили эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»). Цель злоумышленников — кибершпионаж. При этом группа существенно расширила географию своей деятельности: атаки были зафиксированы в странах Африки, Юго-Восточной Азии, а также в некоторых частях Европы.
Как происходят кибератаки на атомную инфраструктуру. В основном злоумышленники используют традиционный метод — рассылки с вредоносными документами. Члены группы придумывают убедительные письма на темы, связанные, например, с регулированием индустрии или работой конкретных предприятий, а также используют отраслевую терминологию. Если жертва откроет вредоносное вложение, запустится цепочка эксплуатации уязвимости, в результате чего злоумышленники смогут получить доступ к конфиденциальной информации, в том числе о работе атомных объектов, исследованиях, данным о сотрудниках. Для кибератак группа SideWinder использует сложное вредоносное ПО, например выявленный ранее зловред StealerBot, а также известную уязвимость в Microsoft Office (CVE-2017-11882). Однако теперь, чтобы избежать обнаружения, атакующие быстро создают модификации своих инструментов — иногда им требуется для этого менее пяти часов.
Что ещё изменилось в деятельности группы. SideWinder активна с 2012 года. Традиционно целью злоумышленников были правительственные, военные и дипломатические учреждения. Однако в 2024 году в число мишеней группы вошли организации из других отраслей: помимо объектов атомной энергетики, члены SideWinder также впервые атаковали морскую инфраструктуру и логистические компании.
Существенно расширилась и география атак. На данный момент «Лаборатория Касперского» зафиксировала активность SideWinder в 15 странах на трёх континентах. В частности, были выявлены многочисленные инциденты в Джибути, после группа переключилась на организации в Египте, а также в Мозамбике, Австрии, Болгарии, Камбодже, Индонезии, на Филиппинах и во Вьетнаме. С действиями злоумышленников также столкнулись дипломатические учреждения в Афганистане, Алжире, Руанде, Саудовской Аравии, Турции и Уганде.
«Мы наблюдаем не просто расширение географии атак, но и существенную эволюцию технических возможностей и амбиций группы SideWinder, — комментирует Василий Бердников, ведущий эксперт Kaspersky GReAT. — Злоумышленникам удаётся с поразительной скоростью развёртывать обновлённые варианты вредоносного ПО после обнаружения. Это меняет ландшафт киберугроз: от реагирования мы переходим практически к противостоянию с атакующими в режиме реального времени».
Подробный технический анализ кибератак группы SideWinder доступен на Securelist.com.
Решения «Лаборатории Касперского» защищают организации от подобных целевых кибератак. Продукты, разработанные в компании, предполагают несколько уровней безопасности, включая управление уязвимостями, предотвращение инцидентов на ранней стадии и обнаружение угроз в режиме реального времени с возможностью автоматического реагирования. В защитных решениях компании оперативно обновляются правила обнаружения, что помогает противостоять новым модификациям вредоносного ПО, как в случае с SideWinder.
Чтобы обезопасить инфраструктуру организации от сложных целевых кибератак, «Лаборатория Касперского» рекомендует:
- регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать уязвимости, которыми могут воспользоваться злоумышленники;
- использовать комплексное решение, обеспечивающее защиту от киберугроз в режиме реального времени, например Kaspersky Symphony;
- проводить тренинги по кибербезопасности для сотрудников, в том числе обучать их тому, как распознавать целевые фишинговые атаки. Для этого, например, можно использовать онлайн-платформу Kaspersky Automated Security Awareness Platform.
