News

Атаки, нацеленные на критическую инфраструктуру, эволюционируют

News | 10.11.2023

В конце 2022 года Mandiant проанализировала киберфизическую атаку с участием группировки хакеров Sandworm, нацеленную на объект украинской критической инфраструктуры.

В атаке использовалась новая техника, воздействующая на промышленные системы управления (АСУ ТП) и операционные технологии (ОТ), что привело к незапланированному отключению электроэнергии во время ракетных ударов по Украине.

Sandworm развернула новый вариант вредоносного ПО CADDYWIPER в ИТ-среде жертвы, демонстрируя развивающиеся возможности киберфизических атак после вторжения в Украину.

В атаке проявилась зрелость Offensive Security арсенала для ОТ, продемонстрировав способность распознавать новые векторы угроз и быстро развивать возможности.

Атака началась в июне 2022 года, когда Sandworm получил доступ к OT через гипервизор, на котором размещен экземпляр управления SCADA. Злоумышленники потенциально имели доступ к системе SCADA на срок до трех месяцев. 10 октября Sandworm использовала ISO-образ для выполнения вредоносных команд управления, что привело к внеплановому отключению электроэнергии. Через два дня в ИТ-среде жертвы был развернут новый вариант вредоносного ПО CADDYWIPER.

Несмотря на удаление артефактов, это не повлияло на гипервизор или виртуальную машину SCADA, что указывает на потенциальное отсутствие координации между злоумышленниками...

Эта атака подчеркнула инвестиции россии в атакующие кибервозможности на ОТ-системы.

Переход Sandworm к обтекаемым, легким методам “Living off the Land” предполагает увеличение скорости и масштаба, что затрудняет обнаружение.

Время атаки совпало с активными боевыми действиями россии, что свидетельствует о стратегическом развертывании и гибридной войне.

Эволюция тактики Sandworm подчеркивает приоритеты россии в OT-атаках, отражая переход от отключений электроэнергии в Украине в 2015–2016 годах к более целенаправленным и рациональным подходам.

Также прослеживается связь между атакой Sandworm в июне 2022 года и атакой Volt Typhoon, направленной на критическую инфраструктуру США. Для достижения своей цели Volt Typhoon также уделяет большое внимание скрытности, полагаясь почти исключительно на метод “Living off the Land”.

Больше деталей по ссылке.

Эволюция кибератак и растущая тенденция атак на ОТ-системы (АСУ ТП) ставит под угрозу полноценное функционирование критической инфраструктуры в условиях гибридной войны. Защита ИТ и ОТ не является тождественным понятием. Защита критической инфраструктуры от кибератак - стратегически важная задача, которая требует внедрения комплексных cybersecurity решений для промышленных систем управления и ОТ (АСУ ТП).

Решения ведущих мировых производителей Claroty, Rhebo, Siga, Waterfall, OPSWAT, Nanolock, Armis – лучший выбор для защиты критической инфраструктуры.

Программно-аппаратные комплексы этих производителей успешно используются во всем мире и доказали свою эффективность в различных отраслях: топливно-энергетическом комплексе, водоснабжении, добывающей промышленности, здравоохранении, машиностроении, пищевой, химической и фармацевтической промышленности, транспортной инфраструктуре и др.

Обращайтесь за персональной консультацией по продуктам Claroty, Rhebo, Siga, Waterfall, Nanolock, OPSWAT, Armis к специалистам Softprom.