Злоумышленники использовали продвинутые тактики, методы и процедуры (TTPs), чтобы скомпрометировать предприятия производственного сектора, а также занимающиеся инжинирингом и интеграцией автоматизированных систем управления (АСУ).
Как отмечают в «Лаборатории Касперского», серия целевых атак была направлена на создание постоянного канала кражи данных, в том числе из изолированных от внешнего мира систем. По ряду признаков эта вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые предположительно связаны с группой APT31, также известной как Judgment Panda и Zirconium. Расследование показало, что для получения удалённого доступа к системам жертв, сбора и кражи данных использовалось более 15 различных имплантов. Они позволяли создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем. Злоумышленники продемонстрировали обширные знания и опыт в обходе мер безопасности.
Злоумышленники активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL-подмена подразумевает использование легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.
Для эксфильтрации данных и доставки вредоносного ПО использовались облачные сервисы для хранения информации и платформы для обмена файлами. Злоумышленники развёртывали инфраструктуру управления и контроля (C2) скомпрометированных систем в облачной платформе и на частных виртуальных серверах.
Также в атаках использовались новые версии вредоносного ПО FourteenHi. Впервые оно было обнаружено в 2021 году в ходе кампании ExCone, которая была нацелена на госучреждения. Годом позже появились новые варианты программ этого семейства. Они использовались в атаках на промышленные организации.
Кроме того, в ходе расследования был обнаружен новый имплант, который получил название MeatBall. Он предоставлял обширные возможности для удалённого доступа.
Другая отличительная особенность — то, что атакующие копировали данные из изолированных компьютерных сетей через последовательное заражение съёмных носителей. Это не новая тактика, однако в данном случае её реализация, по мнению специалистов, оказалась оригинальной и эффективной. Она включала как минимум четыре различных модуля:
- модуль работы со съёмными носителями и сбором информации о них;
- модуль заражения съёмного носителя;
- модуль сбора и сохранения данных на заражённом носителе;
- модуль заражения и сбора информации с удалённого компьютера.
Эксперты отмечают, что серьёзность последствий целевых атак на промышленный сектор нельзя недооценивать. Многие организации начинают или продолжают активную цифровизацию. Одновременно с этим процессом возрастают и риски атак на критически важные системы. По этой причине важно обучать сотрудников, получать, анализировать и правильно использовать информациб об актуальных угрозах, внедять специализированные решения для защиты промышленной инфраструктуры.
Для защиты АСУ ТП от киберугроз, специалисты рекомендуют:
- регулярно проводить оценку безопасности OT-систем, чтобы выявить и устранить возможные проблемы;
- предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз;
- использовать интегрированные защитные решения c возможностями обнаружения и автоматизированного реагирования на разнообразные угрозы системам технологической сети;
- проводить тренинги для ИБ-специалистов и технических специалистов всех профилей, занятых на различных производственных участках предприятия и имеющих доступ к автоматизированным системам, чтобы предотвращать и своевременно обнаруживать инциденты компьютерной безопасности и улучшать качество противодействия различным, в том числе новым и продвинутым, техникам и тактикам атакующих.