APT- и финансовые атаки на промышленные организации в третьем квартале 2024 года

«Лаборатория Касперского» представила отчёт, содержащий анализ угроз, с которыми столкнулись промышленные предприятия в период с июля по сентябрь 2024 года. В документе рассмотрены наиболее значимые атаки, информация о которых была раскрыта в этот период, а также активность группировок, действующих против организаций, занимающихся промышленным производством и критической инфраструктурой.

Специалисты подробно изложили зафиксированные случаи атак, представили выводы и результаты исследований, способные помочь экспертам, отвечающим за защиту промышленных систем от киберугроз.

За три месяца было опубликовано множество отчётов и технических анализов, в которых детально разобраны инциденты, затронувшие предприятия этой сферы. Эксперты компании выделили несколько случаев, которые заслуживают особого внимания.

Одним из них стало выявление FrostyGoop — редкого инструмента, предназначенного специально для технологических систем. Исследователи предполагают, что он использовался в атаке на коммунальное предприятие в Западной Украине, в результате которой 600 многоквартирных домов остались без отопления на два дня в самый холодный период зимы 2023 года. Специалисты подчёркивают, что этот вредоносный инструмент взаимодействует с технологическими объектами по протоколу Modbus, что делает его особенно опасным для промышленных систем.

Кроме того, были зафиксированы атаки, направленные не только на технологические процессы, но и на интеллектуальную собственность. В рамках кампании Librarian Ghouls злоумышленники пытались похитить чертежи, инженерные разработки и 3D-модели, использующиеся в системах проектирования и моделирования. Эксперты отмечают, что подобный интерес к конструкторской документации свидетельствует о стремлении киберпреступников получить доступ к инновационным разработкам и перспективным промышленным технологиям.

Дополнительную тревогу вызвал выявленный червь CMoon, распространявшийся через взломанный сайт российской энергетической компании. Кроме того, специалисты указали на атаки TIDRONE/Operation WordDrone, в ходе которых злоумышленники либо компрометировали цепочку поставок, либо использовали уязвимости в ERP-системах, чтобы получить первоначальный доступ к инфраструктуре жертв. Исследователи подчеркнули, что компрометация сторонних сервисов остаётся одной из самых актуальных угроз для промышленных компаний, поскольку позволяет атакующим незаметно проникать в корпоративные сети.

Полная версия исследования доступна по ссылке.