За 15 лет было обнаружено 17 фреймворков, использующихся APT-группами в атаках на SCADA-систем и АСУ ТП.
В одном лишь первом полугодии 2020 года было обнаружено четыре разных вредоносных фреймворка, предназначенных для атак на физически изолированные сети, а общее число этих инструментов, прокладывающих злоумышленникам путь к кибершпионажу и похищению секретной информации, за 15 лет достигло 17.
«Все фреймворки предназначены для определенных форм шпионажа, и все фреймворки используют USB-накопители как физическое средство передачи данных в и из целевых физически изолированных сетей», — рассказали исследователи ESET Алексис Дораис-Йонкас (Alexis Dorais-Joncas) и Факундо Муньос (Facundo Muñoz) в новом исследовании.
Поскольку физическая изоляция является одним из самых распространенных способов защиты SCADA-систем и АСУ ТП, финансируемые государством APT-группы все чаще обращают внимание на критически важную инфраструктуру в надежде внедрить в физически изолированные сети вредоносное ПО для наблюдения за интересующими их целями.
Как сообщают специалисты ESET, фреймворки в основном предназначены для атак на компьютеры под управлением Windows. Не менее 75% фреймворков используют вредоносные файлы LNK или AutoRun на USB-накопителях либо для первоначальной компрометации физически изолированных систем, либо для бокового перемещения в физически изолированных сетях.
Специалистам удалось связать некоторые фреймворки с известными APT-группировками:
Retro – DarkHotel (она же APT-C-06 или Dubnium);
Ramsay – DarkHotel;
USBStealer – APT28 (она же Fancy Bear, Sednit или Sofacy);
USBFerry – Tropic Trooper (она же APT23 или Pirate Panda);
Fanny – Equation Group;
USBCulprit – Goblin Panda (она же Hellsing или Cycldek);
PlugX – Mustang Panda;
Agent.BTZ – Turla Group.
«Каждый фреймворк работает по-своему, но у них есть одна общая черта – они все, без исключения, используют вредоносные USB-накопители. Главное отличие между подключенными и offline-фреймворками заключается в том, каким образом была модифицирована сама флэшка», — сообщили исследователи.
Подключенные фреймворки работают путем развертывания вредоносного компонента в подключенной системе, которая мониторит подключение новых USB-накопителей и автоматически размещает вредоносный код, необходимый для взлома физически изолированной системы. В случае с offline-фреймворками наподобие Brutal Kangaroo, EZCheese и ProjectSauron для осуществления атаки злоумышленники должны заразить вредоносом собственные USB-накопители.
В качестве мер предосторожности организациям с критическими информационными системами рекомендуется заблокировать на подключенных системах доступ к электронной почте, отключить USB-порты, «дезинфицировать» USB-накопители, ограничить выполнение файлов на съемных дисках и регулярно проводить экспертизу изолированных систем на предмет признаков подозрительной активности.
Источник: securitylab