Эксперты рассказали о 17 фреймворках для атак на физически изолированные системы

Эксперты рассказали о 17 фреймворках для атак на физически изолированные системы

За 15 лет было обнаружено 17 фреймворков, использующихся APT-группами в атаках на SCADA-систем и АСУ ТП.

В одном лишь первом полугодии 2020 года было обнаружено четыре разных вредоносных фреймворка, предназначенных для атак на физически изолированные сети, а общее число этих инструментов, прокладывающих злоумышленникам путь к кибершпионажу и похищению секретной информации, за 15 лет достигло 17.

«Все фреймворки предназначены для определенных форм шпионажа, и все фреймворки используют USB-накопители как физическое средство передачи данных в и из целевых физически изолированных сетей», - рассказали исследователи ESET Алексис Дораис-Йонкас (Alexis Dorais-Joncas) и Факундо Муньос (Facundo Muñoz) в новом исследовании.

Поскольку физическая изоляция является одним из самых распространенных способов защиты SCADA-систем и АСУ ТП, финансируемые государством APT-группы все чаще обращают внимание на критически важную инфраструктуру в надежде внедрить в физически изолированные сети вредоносное ПО для наблюдения за интересующими их целями.

Как сообщают специалисты ESET, фреймворки в основном предназначены для атак на компьютеры под управлением Windows. Не менее 75% фреймворков используют вредоносные файлы LNK или AutoRun на USB-накопителях либо для первоначальной компрометации физически изолированных систем, либо для бокового перемещения в физически изолированных сетях.

Специалистам удалось связать некоторые фреймворки с известными APT-группировками:

Retro – DarkHotel (она же APT-C-06 или Dubnium);

Ramsay – DarkHotel;

USBStealer – APT28 (она же Fancy Bear, Sednit или Sofacy);

USBFerry – Tropic Trooper (она же APT23 или Pirate Panda);

Fanny – Equation Group;

USBCulprit – Goblin Panda (она же Hellsing или Cycldek);

PlugX – Mustang Panda;

Agent.BTZ – Turla Group.

«Каждый фреймворк работает по-своему, но у них есть одна общая черта – они все, без исключения, используют вредоносные USB-накопители. Главное отличие между подключенными и offline-фреймворками заключается в том, каким образом была модифицирована сама флэшка», - сообщили исследователи.

Подключенные фреймворки работают путем развертывания вредоносного компонента в подключенной системе, которая мониторит подключение новых USB-накопителей и автоматически размещает вредоносный код, необходимый для взлома физически изолированной системы. В случае с offline-фреймворками наподобие Brutal Kangaroo, EZCheese и ProjectSauron для осуществления атаки злоумышленники должны заразить вредоносом собственные USB-накопители.

В качестве мер предосторожности организациям с критическими информационными системами рекомендуется заблокировать на подключенных системах доступ к электронной почте, отключить USB-порты, «дезинфицировать» USB-накопители, ограничить выполнение файлов на съемных дисках и регулярно проводить экспертизу изолированных систем на предмет признаков подозрительной активности.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!