Атаки, націлені на критичну інфраструктуру, еволюціонують
News | 10.11.2023
Наприкінці 2022 року Mandiant проаналізувала кіберфізичну атаку за участю угруповання хакерів Sandworm, націлену на об'єкт української критичної інфраструктури.
В атаці використовувалася нова техніка, яка впливала на промислові системи управління (АСУ ТП) та операційні технології (ОТ), що призвело до незапланованого відключення електроенергії під час ракетних ударів по Україні.
Sandworm розгорнула новий варіант шкідливого ПЗ CADDYWIPER в ІТ-середовищі жертви, демонструючи можливості кіберфізичних атак, які розвиваються, після вторгнення в Україну.
В атаці виявилася зрілість Offensive Security арсеналу для ОТ, продемонструвавши здатність розпізнавати нові вектори загроз та швидко розвивати можливості.
Атака розпочалася у червні 2022 року, коли Sandworm отримав доступ до OT через гіпервізор, на якому розміщено екземпляр управління SCADA. Зловмисники потенційно мали доступ до системи SCADA терміном до трьох місяців. 10 жовтня Sandworm використала ISO-образ для виконання шкідливих команд управління, що призвело до позапланового відключення електроенергії. Через два дні в ІТ-середовищі жертви було розгорнуто новий варіант шкідливого ПЗ CADDYWIPER.
Незважаючи на видалення артефактів, це не вплинуло на гіпервізор чи віртуальну машину SCADA, що вказує на потенційну відсутність координації між зловмисниками...
Ця атака підкреслила інвестиції росії в атакуючі кіберможливості на ОТ-системи.
Перехід Sandworm до обтічних, легких методів “Living off the Land” передбачає збільшення швидкості та масштабу, що ускладнює виявлення.
Час атаки збігся з активними бойовими діями росії, що свідчить про стратегічне розгортання та гібридну війну.
Еволюція тактики Sandworm наголошує на пріоритетах росії в OT-атаках, відображаючи перехід від відключень електроенергії в Україні в 2015–2016 роках до більш цілеспрямованих та раціональних підходів.
Також простежується зв'язок між атакою Sandworm у червні 2022 року та атакою Volt Typhoon, спрямованою на критичну інфраструктуру США. Для досягнення своєї мети Volt Typhoon також приділяє велику увагу скритності, покладаючись майже виключно метод “Living off the Land”.
Більше деталей за посиланням.
Еволюція кібератак і тенденція зростання атак на ОТ-системи (АСУ ТП) ставить під загрозу повноцінне функціонування критичної інфраструктури в умовах гібридної війни. Захист ІТ та ОТ не є тотожним поняттям. Захист критичної інфраструктури від кібератак - стратегічно важливе завдання, яке потребує впровадження комплексних cybersecurity рішень для промислових систем управління та ОТ (АСУ ТП).
Рішення провідних світових виробників Rhebo, Siga, OPSWAT, Nanolock, Armis є найкращим вибором для захисту критичної інфраструктури.
Програмно-апаратні комплекси цих виробників успішно використовуються в усьому світі та довели свою ефективність у різних галузях: паливно-енергетичному комплексі, водопостачанні, добувній промисловості, охороні здоров'я, машинобудуванні, харчовій, хімічній та фармацевтичній промисловості, транспортній інфраструктурі тощо.
Звертайтеся за персональною консультацією стосовно рішень Rhebo, Siga, Nanolock, OPSWAT, Armis до фахівців Softprom.