Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Исследование Лаборатории Касперского: как хакеры крадут информацию из АСУ

04/08/23

function-asy_tp

«Лаборатория Касперского» провела расследование ряда кибератак на промышленные объекты в Восточной Европе. Целью атакующих были предприятия производственного сектора, а также занимающиеся разработкой и внедрением автоматизированных систем управления (АСУ). Злоумышленники использовали продвинутые тактики, методы и процедуры (TTPs), пишет Securitylab.

Эксперты компании установили, что эта серия целевых атак была ориентирована на создание постоянного канала похищения данных, в том числе из систем, изолированных от внешнего мира. По некоторым признакам эта вредоносная кампания схожа с ранее исследованными атаками ExCone и DexCone, которые предположительно связаны с группой APT31, также известной как Judgment Panda и Zirconium.

Расследование показало, что для получения удалённого доступа к системам жертв, сбора и похищения данных использовалось более 15 различных имплантов. Они позволяли создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем. Атакующие продемонстрировали обширные знания и опыт в обходе мер безопасности.

Атакующие активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы зловредов. DLL-подмена подразумевает использование легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации данных и доставки вредоносного ПО злоумышленники использовали облачные сервисы для хранения информации и платформы для обмена файлами. Они развёртывали инфраструктуру управления и контроля (C2) скомпрометированных систем в облачной платформе и на частных виртуальных серверах.

В атаках также использовались новые версии вредоносного ПО FourteenHi. Впервые оно было обнаружено в 2021 году в ходе кампании ExCone, которая была нацелена на госучреждения. Годом позже появились новые варианты этой программы, которые использовались для атак на промышленные организации..

Кроме того, в ходе расследования был обнаружен новый зловред, который получил название MeatBall. Он обеспечивал обширные возможности для удалённого доступа.

Другой отличительной особенностью является копирование данных из изолированных компьютерных сетей через последовательное заражение съёмных носителей. Это не новая тактика, однако в данном случае её реализация, по мнению специалистов, оказалась оригинальной и эффективной. Она включала как минимум четыре различных модуля:

  • модуль работы со съёмными носителями и сбор информации о них;
  • модуль заражения съёмного носителя;
  • модуль сбора и сохранение данных на заражённом носителе;
  • модуль заражения и сбор информации с удалённого компьютера.

Эксперты компании подчеркивают, что целевые атаки на промышленный сектор могут иметь серьёзные последствия. Они советует организациям, которые занимаются цифровизацией, учитывать риски атак на критически важные системы и следовать лучшим практикам обеспечения кибербезопасности.

Темы:ИсследованиеПреступленияЛККибератакиАСУ ТП
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Криптографический протокол защищенного обмена для индустриальных систем стал национальным стандартом
    Марина Сорокина, руководитель продуктового направления компании “ИнфоТеКС”
    1 апреля 2024 г. вступил в силу ГОСТ Р 71252–2024 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем”, утвержденный приказом Росстандарта № 235-ст от 15 февраля 2024 г.
  • Сообщество RUSCADASEC: для кого оно и какие проблемы решает
    Илья Карпов, основатель RUSCADASEC, ведущий специалист по информационной безопасности в отделе исследовательской лаборатории BI.ZONE
    В одной из соцсетей в начале 2000-х зародилась группа RUSCADASEC, посвященная темам безопасности АСУ ТП, со временем переросшая в полноценное сообщество по кибербезопасности. Как это было?

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...