ბოლო ამბები
07/11/2024

15-ზე მეტი მავნე იმპლანტი იქნა გამოყენებული ინდუსტრიულ საწარმოებზე მიზანმიმართული კიბერშეტევების სერიისას: „კასპერსკის ლაბორატორია“

გაზიარება

„კასპერსკის ლაბორატორიამ“ დაასრულა გამოკვლევა აღმოსავლეთ ევროპის სამრეწველო საწარმოებზე კიბერშეტევების სერიაზე, სადაც თავდამსხმელები იყენებდნენ მოწინავე ტაქტიკას, მეთოდებს და პროცედურებს (TTPs) საწარმოო სექტორში ბიზნესის კომპრომისისთვის, ისევე როგორც ინჟინერიაში ჩართული ავტომატური კონტროლის სისტემების (CMS) ინტეგრირებისთვის.

„კასპერსკის ლაბორატორიის“ სპეციალისტებმა გაარკვიეს, რომ მიზნობრივი შეტევების ეს სერია მიზნად ისახავდა მუდმივი არხის შექმნას მონაცემების მოპარვისთვის, მათ შორის გარე სამყაროსგან იზოლირებული სისტემებისგან. მრავალი თვალსაზრისით, ეს მავნე კამპანია ჰგავს ადრე გამოძიებულ ExCone და DexCone შეტევებს, რომლებიც, სავარაუდოდ, დაკავშირებულია APT31 ჯგუფთან, ასევე ცნობილია როგორც Judgment Panda და Zirconium. გამოძიებამ აჩვენა, რომ 15-ზე მეტი სხვადასხვა იმპლანტი გამოიყენებოდა მსხვერპლთა სისტემებზე დისტანციური წვდომისთვის, მონაცემების შესაგროვებლად და მოსაპარად. მათ შესძლეს შეექმნათ მრავალი მუდმივი არხიმოპარული ინფორმაციის გასაგზავნად, მათ შორის უაღრესად უსაფრთხო სისტემებიდან. თავდამსხმელებმა აჩვენეს უსაფრთხოების ზომების გვერდის ავლის დიდი ცოდნა და გამოცდილება.

თავდამსხმელები აქტიურად იყენებდნენ DLL გაყალბების ტექნიკას იმპლანტების მუშაობის დროს გამოჟღავნების თავიდან ასაცილებლად. DLL გაყალბება გულისხმობს ლეგიტიმური მესამე მხარის შესრულებადი ფაილების გამოყენებას, რომლებსაც აქვთ დაუცველობა, რაც საშუალებას იძლევა ჩაიტვირთოს მავნე დინამიური ბიბლიოთეკა მათ მეხსიერებაში.

ღრუბლოვანი შენახვის სერვისები და ფაილების გაზიარების პლატფორმები გამოიყენებოდა მონაცემთა ექსფილტრაციისა და მავნე პროგრამების მიწოდებისთვის. თავდამსხმელებმა განათავსეს კომპრომეტირებული სისტემების ბრძანება და კონტროლის ინფრასტრუქტურა ღრუბლოვან პლატფორმაზე და კერძო ვირტუალურ სერვერებზე.

შეტევებში ასევე იქნა გამოყენებული FourteenHi მავნე პროგრამის ახალი ვერსიები. ის პირველად 2021 წელს აღმოაჩინეს ExCone კამპანიის დროს, რომელიც სამთავრობო უწყებებს ეხებოდა. ერთი წლის შემდეგ გამოჩნდა ამ ოჯახის პროგრამების ახალი ვერსიები. ისინი გამოიყენებოდენ ინდუსტრიულ ორგანიზაციებზე თავდასხმებისას.
გარდა ამისა, გამოკვლევისას დროს აღმოაჩენილი იქნა ახალი იმპლანტი სახელად MeatBall, რომელიც იძლეოდა დისტანციური წვდომის ფართო შესაძლებლობებს.

კიდევ ერთი განმასხვავებელი თვისება ის იყო, რომ თავდამსხმელები აკოპირებდნენ მონაცემებს იზოლირებული კომპიუტერული ქსელებიდან მოსახსნელი მედიის თანმიმდევრული ინფიცირების გზით. ეს არ არის ახალი ტაქტიკა, მაგრამ ამ შემთხვევაში მისი გამოყენება, ექსპერტების აზრით, ორიგინალური და ეფექტური აღმოჩნდა.

„მრეწველობის სექტორზე მიზანმიმართული თავდასხმების შედეგების სიმძიმე არ შეიძლება არ იქნას შეფასებული შესაბამისად. რადგანაც ბევრი ორგანიზაცია იწყებს ან აგრძელებს აქტიურ დიგიტალიზაციას, კრიტიკულ სისტემებზე თავდასხმების პროპორციულად მზარდი რისკების გათვალისწინებაც არ იქნება ურიგო.

ის ფაქტი, რომ თავდამსხმელები პოულობენ გზებს, რათა მოხვდნენ სამრეწველო საწარმოების ყველაზე უსაფრთხო სისტემებში, გვიჩვენებს, თუ რამდენად მნიშვნელოვანია კიბერუსაფრთხოების საუკეთესო პრაქტიკის დაცვა, მათ შორის თანამშრომლების მომზადება, მიმდინარე საფრთხეების შესახებ ინფორმაციის მოპოვება, ანალიზი, შედეგების სწორად გამოყენება და სპეციალიზებული გადაწყვეტილებების დანერგვა. დაიცავით სამრეწველო ინფრასტრუქტურა“,— გვირჩევს Kaspersky ICS CERT-ის უფროსი მკვლევარი- დეველოპერი კირილ კრუგლოვი.

სხვა ამბების წაკითხვა