СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
20.12.2024
#Dev#ИБ#Инфра

Эксперты опасаются, что новое вредоносное ПО способно остановить инженерные процессы в средах АСУ ТП

Эксперты опасаются, что новое вредоносное ПО способно остановить инженерные процессы в средах АСУ ТП

источник: dall-e

Проведённое профильной ИБ-компанией Forescout исследование показало, что новые вредоносные хакерские атаки, нацеленные на промышленные системы управления (ICS), способны остановить инженерные процессы. Исследователи обнаружили кластеры двух типов вредоносных атак, нацеленных на инженерные рабочие станции Mitsubishi и Siemens, и перечисленных в репозитории VirusTotal с августа по ноябрь 2024 года.

По словам экспертов, прежде всего, это вредонос-червь Ramnit, нацеленный на рабочие станции Mitsubishi, и новая экспериментальная вредоносная программа Chaya_003, нацеленная на рабочие станции Siemens. При этом вредонос Chaya_003 продемонстрировал возможность завершения инженерных процессов. Эксперты обнаружили, что хакеры использовали легитимные сервисы для управления и контроля (C2), что затрудняло обнаружение угроз.

В отчёте Forescout заявлено, что инженерные рабочие станции — это стандартные компьютеры, работающие под управлением традиционных операционных систем, чаще всего Windows, а также специализированного инженерного программного обеспечения, предоставляемого производителями оборудования. Это программное обеспечение необходимо для ввода в эксплуатацию и программирования полевых устройств, таких как программируемый логический контроллер (ПЛК) в средах операционных технологий (OT) и ICS.

Аналитики Forescout также ссылаются на результаты недавнего исследования Института SANS, которое показало, что взлом рабочих станций инженеров является причиной более 20% инцидентов в системах OT/ICS, что и послужило поводом для проведения нового анализа.

Эксперты из Forescout выявили два кластера Ramnit, заражающих рабочие станции Mitsubishi. Вредонос Ramnit впервые появился в 2010 году как банковский троян, предназначенный для кражи учётных данных, а затем превратился в модульную платформу, способную загружать плагины с сервера C2. Вредоносное ПО может распространяться через заражённые физические устройства, например USB-накопители, или через сети, скомпрометированные плохо сегментированными ИТ-системами.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: