Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Эксперты рассказали о 17 фреймворках для атак на физически изолированные системы

03/12/21

isolated systemВ одном лишь первом полугодии 2020 года было обнаружено четыре разных вредоносных фреймворка, предназначенных для атак на физически изолированные сети, а общее число этих инструментов, прокладывающих злоумышленникам путь к кибершпионажу и похищению секретной информации, за 15 лет достигло 17.

«Все фреймворки предназначены для определенных форм шпионажа, и все фреймворки используют USB-накопители как физическое средство передачи данных в и из целевых физически изолированных сетей», - рассказали исследователи ESET Алексис Дораис-Йонкас (Alexis Dorais-Joncas) и Факундо Муньос (Facundo Muñoz) в новом исследовании.

Поскольку физическая изоляция является одним из самых распространенных способов защиты SCADA-систем и АСУ ТП, финансируемые государством APT-группы все чаще обращают внимание на критически важную инфраструктуру в надежде внедрить в физически изолированные сети вредоносное ПО для наблюдения за интересующими их целями.

Как сообщают специалисты ESET, фреймворки в основном предназначены для атак на компьютеры под управлением Windows. Не менее 75% фреймворков используют вредоносные файлы LNK или AutoRun на USB-накопителях либо для первоначальной компрометации физически изолированных систем, либо для бокового перемещения в физически изолированных сетях.

Специалистам удалось связать некоторые фреймворки с известными APT-группировками:

  • Retro – DarkHotel (она же APT-C-06 или Dubnium);
  • Ramsay – DarkHotel;
  • USBStealer – APT28 (она же Fancy Bear, Sednit или Sofacy);
  • USBFerry – Tropic Trooper (она же APT23 или Pirate Panda);
  • Fanny – Equation Group;
  • USBCulprit – Goblin Panda (она же Hellsing или Cycldek);
  • PlugX – Mustang Panda;
  • Agent.BTZ – Turla Group.

«Каждый фреймворк работает по-своему, но у них есть одна общая черта – они все, без исключения, используют вредоносные USB-накопители. Главное отличие между подключенными и offline-фреймворками заключается в том, каким образом была модифицирована сама флэшка», - сообщили исследователи.

Подключенные фреймворки работают путем развертывания вредоносного компонента в подключенной системе, которая мониторит подключение новых USB-накопителей и автоматически размещает вредоносный код, необходимый для взлома физически изолированной системы. В случае с offline-фреймворками наподобие Brutal Kangaroo, EZCheese и ProjectSauron для осуществления атаки злоумышленники должны заразить вредоносом собственные USB-накопители.

В качестве мер предосторожности организациям с критическими информационными системами рекомендуется заблокировать на подключенных системах доступ к электронной почте, отключить USB-порты, «дезинфицировать» USB-накопители, ограничить выполнение файлов на съемных дисках и регулярно проводить экспертизу изолированных систем на предмет признаков подозрительной активности.

Темы:ИсследованиеУгрозыAPT-группыАСУ ТП
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Криптографический протокол защищенного обмена для индустриальных систем стал национальным стандартом
    Марина Сорокина, руководитель продуктового направления компании “ИнфоТеКС”
    1 апреля 2024 г. вступил в силу ГОСТ Р 71252–2024 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем”, утвержденный приказом Росстандарта № 235-ст от 15 февраля 2024 г.
  • Сообщество RUSCADASEC: для кого оно и какие проблемы решает
    Илья Карпов, основатель RUSCADASEC, ведущий специалист по информационной безопасности в отделе исследовательской лаборатории BI.ZONE
    В одной из соцсетей в начале 2000-х зародилась группа RUSCADASEC, посвященная темам безопасности АСУ ТП, со временем переросшая в полноценное сообщество по кибербезопасности. Как это было?

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...