Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Исследование Лаборатории Касперского: как хакеры крадут информацию из АСУ

04/08/23

function-asy_tp

«Лаборатория Касперского» провела расследование ряда кибератак на промышленные объекты в Восточной Европе. Целью атакующих были предприятия производственного сектора, а также занимающиеся разработкой и внедрением автоматизированных систем управления (АСУ). Злоумышленники использовали продвинутые тактики, методы и процедуры (TTPs), пишет Securitylab.

Эксперты компании установили, что эта серия целевых атак была ориентирована на создание постоянного канала похищения данных, в том числе из систем, изолированных от внешнего мира. По некоторым признакам эта вредоносная кампания схожа с ранее исследованными атаками ExCone и DexCone, которые предположительно связаны с группой APT31, также известной как Judgment Panda и Zirconium.

Расследование показало, что для получения удалённого доступа к системам жертв, сбора и похищения данных использовалось более 15 различных имплантов. Они позволяли создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем. Атакующие продемонстрировали обширные знания и опыт в обходе мер безопасности.

Атакующие активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы зловредов. DLL-подмена подразумевает использование легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации данных и доставки вредоносного ПО злоумышленники использовали облачные сервисы для хранения информации и платформы для обмена файлами. Они развёртывали инфраструктуру управления и контроля (C2) скомпрометированных систем в облачной платформе и на частных виртуальных серверах.

В атаках также использовались новые версии вредоносного ПО FourteenHi. Впервые оно было обнаружено в 2021 году в ходе кампании ExCone, которая была нацелена на госучреждения. Годом позже появились новые варианты этой программы, которые использовались для атак на промышленные организации..

Кроме того, в ходе расследования был обнаружен новый зловред, который получил название MeatBall. Он обеспечивал обширные возможности для удалённого доступа.

Другой отличительной особенностью является копирование данных из изолированных компьютерных сетей через последовательное заражение съёмных носителей. Это не новая тактика, однако в данном случае её реализация, по мнению специалистов, оказалась оригинальной и эффективной. Она включала как минимум четыре различных модуля:

  • модуль работы со съёмными носителями и сбор информации о них;
  • модуль заражения съёмного носителя;
  • модуль сбора и сохранение данных на заражённом носителе;
  • модуль заражения и сбор информации с удалённого компьютера.

Эксперты компании подчеркивают, что целевые атаки на промышленный сектор могут иметь серьёзные последствия. Они советует организациям, которые занимаются цифровизацией, учитывать риски атак на критически важные системы и следовать лучшим практикам обеспечения кибербезопасности.

Темы:ИсследованиеПреступленияЛККибератакиАСУ ТП
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • MISRA: повышение безопасности встраиваемых систем через SAST
    Михаил Гельвих, руководитель отдела технического сопровождения ООО “ПВС”
    Встраиваемые системы управляют автомобилями, медицинским оборудованием и промышленными объектами, где ошибки могут приводить не только к финансовым потерям, но и угрожать жизням людей. Рассмотрим, как стандарт MISRA и статические анализаторы, такие как PVS-Studio, помогают обеспечить надежность и безопасность кода в критически важных приложениях.
  • Без полумер и человека: грамотная автоматизация спасет АСУ ТП от киберугроз
    Андрей Кузнецов, менеджер продукта “Синоникс” в компании “АйТи Бастион”
    Минимизация участия человека в производственных процессах – один из главных пунктов обеспечения информационной безопасности АСУ ТП. Человеческий фактор в мире автоматизированных систем до сих пор остается ключевой уязвимостью крупных организаций. Несмотря на то, что многие предприятия до сих пор сопротивляются глобальной цифровизации, нужно смотреть правде в глаза: тренд на автоматизацию производств был, есть и, с учетом развития технологий сегодня, абсолютно точно останется. С этим можно спорить, трепетно вычитывая регуляторные требования, а можно поддаться благому течению технологий и жить. Тем более, что для этого есть необходимые и удобные инструменты даже в случае АСУ ТП. Об этих инструментах и грамотном пути к безопасному обмену данными на производствах и поговорим.
  • Лишь 10% корпоративных систем поддерживают современную аутентификацию
    Последнее время стало модным говорить о беспарольном будущем. Отчеты, аналитика, блоги и форумы пестрят рассуждениями о том, как классические пароли уходят в прошлое, а на их смену приходят более удобные и безопасные способы входа в систему. Однако реальность, как это часто бывает, оказывается менее однозначной.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Киберустойчивость в энергетике: как избежать иллюзий?
    Евгений Генгринович, советник генерального директора компании “ИнфоТеКС”
    Когда речь заходит о цифровой трансформации в АСУ ТП, наравне с вопросами информационной безопасности все чаще поднимается тема киберустойчивости. Устойчивость важна для любой технологической системы – будь то электроэнергетика, нефтегазовая отрасль или нефтехимия. Основная задача любого технологического процесса – достижение запланированных бизнес-результатов, и службы эксплуатации традиционно отвечают за его надежность.
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...