Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Исследование Лаборатории Касперского: как хакеры крадут информацию из АСУ

04/08/23

function-asy_tp

«Лаборатория Касперского» провела расследование ряда кибератак на промышленные объекты в Восточной Европе. Целью атакующих были предприятия производственного сектора, а также занимающиеся разработкой и внедрением автоматизированных систем управления (АСУ). Злоумышленники использовали продвинутые тактики, методы и процедуры (TTPs), пишет Securitylab.

Эксперты компании установили, что эта серия целевых атак была ориентирована на создание постоянного канала похищения данных, в том числе из систем, изолированных от внешнего мира. По некоторым признакам эта вредоносная кампания схожа с ранее исследованными атаками ExCone и DexCone, которые предположительно связаны с группой APT31, также известной как Judgment Panda и Zirconium.

Расследование показало, что для получения удалённого доступа к системам жертв, сбора и похищения данных использовалось более 15 различных имплантов. Они позволяли создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем. Атакующие продемонстрировали обширные знания и опыт в обходе мер безопасности.

Атакующие активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы зловредов. DLL-подмена подразумевает использование легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации данных и доставки вредоносного ПО злоумышленники использовали облачные сервисы для хранения информации и платформы для обмена файлами. Они развёртывали инфраструктуру управления и контроля (C2) скомпрометированных систем в облачной платформе и на частных виртуальных серверах.

В атаках также использовались новые версии вредоносного ПО FourteenHi. Впервые оно было обнаружено в 2021 году в ходе кампании ExCone, которая была нацелена на госучреждения. Годом позже появились новые варианты этой программы, которые использовались для атак на промышленные организации..

Кроме того, в ходе расследования был обнаружен новый зловред, который получил название MeatBall. Он обеспечивал обширные возможности для удалённого доступа.

Другой отличительной особенностью является копирование данных из изолированных компьютерных сетей через последовательное заражение съёмных носителей. Это не новая тактика, однако в данном случае её реализация, по мнению специалистов, оказалась оригинальной и эффективной. Она включала как минимум четыре различных модуля:

  • модуль работы со съёмными носителями и сбор информации о них;
  • модуль заражения съёмного носителя;
  • модуль сбора и сохранение данных на заражённом носителе;
  • модуль заражения и сбор информации с удалённого компьютера.

Эксперты компании подчеркивают, что целевые атаки на промышленный сектор могут иметь серьёзные последствия. Они советует организациям, которые занимаются цифровизацией, учитывать риски атак на критически важные системы и следовать лучшим практикам обеспечения кибербезопасности.

Темы:ИсследованиеПреступленияЛКтактики кибератакАСУ ТП
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

  • Новинки компании "ИнфоТеКС" на Большом Московском ИнфоТеКС ТехноФест 2023
    Были представлены все решения ИнфоТеКС, в том числе ViPNet Coordinator HW, ViPNet Coordinator IG, ViPNet CSS Connect, ViPNet xFirewall, системы квантового распределения ключей и новый крипточип для промышленных систем.
  • Обзор изменений в законодательстве в мае и июне 2023 года
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в трансграничную передачу ПДн, в положение о ФСТЭК, ограничения на мессенджеры, методические рекомендации к процессу управления уязвимостями и др.
  • Актуальные вопросы построения защиты АСУ ТП
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    АСУ являются одними из наиболее критичных систем, требующих внимания. Реализация СБ АСУ, как правило, связана с определенными ограничениями и сложностями.
  • Кибербезопасность объектов ТЭК в 2023 году
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Предприятия ТЭК являются одними из наиболее критических объектов, которые требуют самых серьезных мер защиты от современных кибератак. Однако бок о бок с критичностью и актуальностью защиты предприятий ТЭК идут сложности организации комплексной системы информационной безопасности.
  • Повышение защищенности автоматизированных систем управления технологическими процессами
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    В большинстве технологических процессов используется программно-управляемое оборудование, выполняющее программы, поступающие из центра управления по каналам связи. При этом центр управления может быть значительно удален от конечного оборудования, а в качестве каналов связи могут использоваться любые физические линии с любыми протоколами. Все это создает предпосылки для возможного вмешательства в технологический процесс извне.
  • Решение для киберзащиты без потери автономности сегмента АСУ ТП
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Повышение автономности АСУ ТП вовсе не означает ее изоляцию в информационном плане, а лишь определяет границы ее функционирования, повышая надежность за счет исключения непрогнозирумых вторжений злоумышленников

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...