APT- и финансовые атаки на промышленные организации в четвертом квартале 2024 года

В конце 2024 года специалисты из «Лаборатории Касперского» обнародовали обзор, посвящённый кибератакам на индустриальный сектор. В отчёте представлены материалы о действиях шпионских группировок и преступных сетей, ориентированных на промышленность и смежные сферы. Каждый случай был проанализирован с технической точки зрения.

Эксперты описали найденные инструменты, последствия и возможные пути противодействия, на которые стоит обратить внимание специалистам, работающим на стыке ИТ и производственных процессов.

Последние месяцы года обернулись чередой инцидентов, показавших, насколько уязвимыми остаются заводы, энергетические объекты и другие промышленные системы. Рассмотрим самые характерные эпизоды, упомянутые в обзоре.

tidrone снова оказался в центре внимания: группа распространяла вредоносное ПО через ERP-системы, в коде которых был спрятан бэкдор. Как предполагается, источником заражения стали малые разработчики из Южной Кореи, чьи продукты устанавливаются у ограниченного числа заказчиков. Этот случай демонстрирует, что атаки через сторонние цепочки поставок представляют серьёзную угрозу для производственных компаний, особенно если они сотрудничают с малозаметными игроками.

Бэкдор под названием OpraCrab, заточенный под Linux, оказался встроен в систему управления топливом, применяемую на автозаправках. Исследователи уверены: прежде эта сеть уже подвергалась нападению со стороны хактивистов. При этом сама вредоносная программа не опиралась на специфические особенности промышленных устройств. Единственное, что явно связывало её с операционной средой — использование протокола MQTT, что позволило замаскировать обмен данными под обычный трафик системы.

Группа RomCom вела атаки сразу на несколько секторов в странах Европы, а также в США и на Украине. В перечень целей вошли предприятия, работающие в сфере обороны, энергетики, фармацевтики, страхования и юриспруденции. Злоумышленники применили связку из двух уязвимостей нулевого дня — одна была найдена в браузере, другая в операционной системе. Это дало возможность выполнить вредоносный код без какого-либо участия пользователя. Подобный случай напомнил о значении цифровой грамотности: базовые знания в сфере кибербезопасности могут стать первым щитом при отражении подобных атак.

С полным текстом отчёта можно ознакомиться по ссылке.