СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.12.2025
#ИБ

Chaya_005 и TwoNet: постоянные атаки на OT-периметр

Недавний анализ киберугроз, направленных на сети операционных технологий (OT), выявил системную фокусировку злоумышленников на промышленных маршрутизаторах и периферийных устройствах периметра. Отчет фиксирует преобладание попыток аутентификации методом брутфорса, массовые инциденты с эксплуатацией веб-интерфейсов и появление нового активного кластера под условным обозначением Chaya_005.

Ключевые выводы

  • 72% сетевых запросов — попытки брутфорса аутентификации через SSH и Telnet;
  • 24% запросов приходились на HTTP/HTTPS и в основном были связаны с попытками эксплуатации уязвимостей и загрузкой вредоносного ПО;
  • Оставшиеся 4% — запросы по другим протоколам (SIP, DNS и др.), которые в большинстве случаев не имели отношения к OT из‑за отсутствия ответа от целевых устройств;
  • Выявлен новый кластер активности Chaya_005, систематически занимающийся отпечатками периферийных устройств и демонстрирующий ботнет‑подобную сигнатуру payload’ов;
  • В периметре анализа оказались три промышленных беспроводных маршрутизатора, промышленный брандмауэр и четыре критически важных публично доступных ресурса (включая PLC и HMI веб‑серверы), которые были повреждены группой TwoNet.

Что такое Chaya_005 и почему это важно

Chaya_005 — это кластер активности, обнаруженный в результате корреляции сетевых телеметрий за последние два года. Характерные черты кластера:

  • постоянные попытки «снятия отпечатков» (fingerprinting) периферийных устройств;
  • поведение наблюдается на нескольких IP‑адресах и нацеливается на устройства разных производителей, а не на продукцию одного вендора;
  • полезная нагрузка содержит сигнатуры, типичные для ботнет‑операций, однако исследователям не удалось подтвердить успешную загрузку файлов с управляющих серверов;
  • мотивы и принадлежность оставляются неясными: возможны как криминальные злоумышленники, так и государственно‑спонсированные акторы, однако однозначных доказательств пока нет.

«Постоянный характер этих сканирований и наблюдаемое поведение указывают на повышенную угрозу для целостности промышленных систем контроля», — отмечают аналитики.

Инцидент с группой TwoNet

Кроме активности Chaya_005, отчет описывает инцидент, в котором группа TwoNet повредила четыре критически важных ресурса, которые по идее должны быть изолированы от внешней сети. Среди пострадавших — публично доступные PLC и HMI веб‑серверы. Этот эпизод служит наглядным примером того, какие последствия возможны при ненадлежащей сегментации и контроле доступа в средах OT.

Оценка рисков и неопределенности

Несмотря на объемный сбор данных, остаются вопросы, которые нельзя решить без дополнительного расследования:

  • является ли Chaya_005 подготовительным этапом для будущих атак или это отдельная исследовательская активность;
  • почему попытки загрузки вредоносных файлов систематически не завершаются успешно — технические проблемы управляющих серверов или вмешательство защитных механизмов;
  • какова реальная цель атак — разрушение, шпионаж, создание ботнета или тестирование возможностей дистанционного доступа.

Рекомендации для операторов OT

Учитывая выявленные угрозы, аналитики рекомендуют принять немедленные и опережающие меры безопасности:

  • строгая сегментация сети: отделять сеть управления (OT) от корпоративной и интернет‑зоны;
  • закрыть прямой доступ к SSH и Telnet из интернета, использовать VPN с многофакторной аутентификацией;
  • принудительная смена паролей и отключение неиспользуемых сервисов;
  • регулярное обновление и патчинг устройств периферии (маршрутизаторы, брандмауэры, PLC, HMI);
  • внедрение мониторинга аномалий сетевого трафика и IDS/IPS с правилами, учитывающими OT‑протоколы;
  • разработка и отработка плана реагирования на инциденты, включая изоляцию компрометированных контроллеров и восстановление из безопасных резервных копий.

Вывод

Наблюдаемые активности — от массовых брутфорс‑атак через SSH/Telnet до целенаправленных отпечатков устройств и попыток эксплуатации веб-интерфейсов — демонстрируют, что среды OT остаются приоритетной целью злоумышленников. Повторяющиеся и длительные по времени инциденты, объединенные в кластер Chaya_005, а также случаи повреждения PLC и HMI группой TwoNet, подчеркивают необходимость повышенной бдительности и оперативного усиления мер защиты на периметре промышленной инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: