Новый червь «парит» над воздушным зазором: эксперты Лаборатории Касперского раскрыли новую угрозу для ICS-систем

Эксперты в области кибербезопасности из Kaspersky ICS-CERT обнаружили новую угрозу для промышленных систем управления (Industrial Control System, ICS) – опасный червь, способный проникать сквозь защиту «air gap» (воздушный зазор) – системы, изолированные от общедоступных и локальных сетей.

Специалисты Kaspersky ICS-CERT, проводя расследование серии кибератак на промышленные и критически важные инфраструктуры Восточной Европы, выявили уникальный вредоносный код. Вирус преодолевает защитные меры, обеспечиваемые air gap-системами. По словам исследователей, злоумышленники стремились установить долгосрочное присутствие в целевых сетях с целью незаметного извлечения данных.

Хакеры смогли избежать обнаружения, скрыв зашифрованные полезные нагрузки в своем собственном двоичном файле и использовав технику DLL Hijacking для внедрения вредоносного кода в память авторизованных приложений.

Вначале киберпреступники применяли инструменты удаленного доступа и сбора данных для получения первичного контроля над ICS-системой. Затем хакеры активировали сложный модульный вредоносный код, направленный против air gap-систем ICS, который заражал съемные накопители червем, извлекающий данные. Далее хакерам оставалось только эксфильтровать украденные данные из защищенной среды.

По словам специалистов, вредоносное ПО включает в себя как минимум 3 модуля, которые отвечают за различные задачи, включая анализ и управление съемными накопителями, захват экрана и распространение вторичного вредоносного кода на вновь подключенные накопители.

В процессе исследования специалисты обнаружили еще одну вредоносную программу, которая пересылала украденные данные с локального компьютера в облачное хранилище Dropbox. Последним звеном в цепочке кибератаки является использование третьего набора инструментов, которые отправляют украденные данные на сервер управления и контроля (C2-сервер).

Команда Kaspersky продолжит расследование инцидента.