Это не кибератака — это оккупация. Lemon Sandstorm 2 года скрывались в инфраструктуре Ближнего Востока

Специалисты компании Fortinet раскрыли подробности масштабной кибератаки на объекты критической инфраструктуры Ближнего Востока. Злоумышленники, предположительно связанные с Ираном, почти два года – с мая 2023 по февраль 2025 года – имели доступ к защищенным сетям.

За операцией стоит группировка Lemon Sandstorm, также известная под именами Parisite, Pioneer Kitten и UNC757. С 2017 года эти хакеры атакуют аэрокосмические предприятия, нефтегазовые компании, системы водоснабжения и электростанции в США, Европе, на Ближнем Востоке и в Австралии. По данным фирмы Dragos, специализирующейся на промышленной кибербезопасности, они проникают в сети через уязвимости в VPN-решениях от Fortinet, Pulse Secure и Palo Alto Networks.

Хронология последней атаки разделена на четыре этапа. На первом, длившемся с мая 2023 по апрель 2024 года, преступники использовали похищенные учетные данные для доступа к SSL VPN. На публичные серверы внедрили веб-оболочки и установили три бэкдора – Havoc, HanifNet и HXLibrary, чтобы обеспечить долговременное присутствие в системе.

Второй этап продлился до ноября 2024 года. Злоумышленники укрепили позиции, разместив дополнительные веб-оболочки и новый бэкдор NeoExpressRAT. Инструменты plink и Ngrok позволили проникнуть глубже в сеть, похитить электронную переписку и получить доступ к инфраструктуре виртуализации.

В ответ на попытки специалистов по безопасности очистить систему группировка перешла к третьей фазе. К 13 декабря 2024 года операторы атаки ещё расширили арсенал, добавив в него средства скрытого управления MeshCentral Agent и SystemBC.

После успешного удаления вредоносного ПО атакующие попытались вернуть контроль над сетью: эксплуатировали известные уязвимости в системе Biotime (CVE-2023-38950, CVE-2023-38951 и CVE-2023-38952) и провели целенаправленную фишинговую кампанию против 11 сотрудников для кражи учетных данных Microsoft 365.

Арсенал Lemon Sandstorm включал как открытые инструменты, так и специально разработанное вредоносное ПО. Havoc и MeshCentral представляют собой общедоступные средства управления и мониторинга, а SystemBC часто предшествует запуску программ-вымогателей.

Среди уникальных разработок хакеров – HanifNet, неподписанный исполняемый файл для .NET, получающий команды с управляющего сервера. HXLibrary, вредоносный модуль IIS, извлекает данные из трех идентичных текстовых файлов на Google Docs для связи с центром управления. CredInterceptor похищает учетные данные из памяти процесса Windows LSASS, а RemoteInjector загружает дополнительные компоненты.

Причастность Lemon Sandstorm подтверждается использованием инфраструктуры управления – apps.gist.githubapp[.]net и gupdate[.]net, ранее замеченной в их операциях именно этой банды. Основной целью злоумышленников была закрытая сеть управления технологическими процессами (OT), хотя доказательств проникновения в неё не обнаружено.

Анализ команд и графика активности указывает на то, что большинство операций выполнялось вручную разными людьми. Более глубокое расследование показало: первое проникновение могло произойти еще 15 мая 2021 года.

На протяжении всей операции хакеры применяли цепочки прокси-серверов и специальные программы для обхода сегментации сети и бокового перемещения внутри инфраструктуры, – отмечают аналитики в отчете. – На поздних этапах они последовательно использовали четыре различных прокси-инструмента для доступа к внутренним сегментам, демонстрируя изощренный подход к сохранению присутствия и уклонению от обнаружения.