Вредоносное ПО попадет на устройство один раз, и уже никогда из него не выходит.
Эксперты в области кибербезопасности из Kaspersky ICS -CERT Для просмотра ссылки Войдиили Зарегистрируйся новую угрозу для промышленных систем управления (Industrial Control System, ICS) – опасный червь , способный проникать сквозь защиту «air gap» (воздушный зазор) – системы, изолированные от общедоступных и локальных сетей.
Специалисты Kaspersky ICS-CERT, проводя расследование серии кибератак на промышленные и критически важные инфраструктуры Восточной Европы, выявили уникальный вредоносный код. Вирус преодолевает защитные меры, обеспечиваемые air gap-системами. По словам исследователей, злоумышленники стремились установить долгосрочное присутствие в целевых сетях с целью незаметного извлечения данных.
Хакеры смогли избежать обнаружения, скрыв зашифрованные полезные нагрузки в своем собственном двоичном файле и использовав технику DLL Hijacking для внедрения вредоносного кода в память авторизованных приложений.
Вначале киберпреступники применяли инструменты удаленного доступа и сбора данных для получения первичного контроля над ICS-системой. Затем хакеры активировали сложный модульный вредоносный код, направленный против air gap-систем ICS, который заражал съемные накопители червем, извлекающий данные. Далее хакерам оставалось только эксфильтровать украденные данные из защищенной среды.
По словам специалистов, вредоносное ПО включает в себя как минимум 3 модуля, которые отвечают за различные задачи, включая анализ и управление съемными накопителями, захват экрана и распространение вторичного вредоносного кода на вновь подключенные накопители.
В процессе исследования специалисты обнаружили еще одну вредоносную программу, которая пересылала украденные данные с локального компьютера в облачное хранилище Dropbox. Последним звеном в цепочке кибератаки является использование третьего набора инструментов, которые отправляют украденные данные на сервер управления и контроля ( C2-сервер ).
Команда Kaspersky продолжит расследование инцидента.
Эксперты в области кибербезопасности из Kaspersky ICS -CERT Для просмотра ссылки Войди
Специалисты Kaspersky ICS-CERT, проводя расследование серии кибератак на промышленные и критически важные инфраструктуры Восточной Европы, выявили уникальный вредоносный код. Вирус преодолевает защитные меры, обеспечиваемые air gap-системами. По словам исследователей, злоумышленники стремились установить долгосрочное присутствие в целевых сетях с целью незаметного извлечения данных.
Хакеры смогли избежать обнаружения, скрыв зашифрованные полезные нагрузки в своем собственном двоичном файле и использовав технику DLL Hijacking для внедрения вредоносного кода в память авторизованных приложений.
Вначале киберпреступники применяли инструменты удаленного доступа и сбора данных для получения первичного контроля над ICS-системой. Затем хакеры активировали сложный модульный вредоносный код, направленный против air gap-систем ICS, который заражал съемные накопители червем, извлекающий данные. Далее хакерам оставалось только эксфильтровать украденные данные из защищенной среды.
По словам специалистов, вредоносное ПО включает в себя как минимум 3 модуля, которые отвечают за различные задачи, включая анализ и управление съемными накопителями, захват экрана и распространение вторичного вредоносного кода на вновь подключенные накопители.
В процессе исследования специалисты обнаружили еще одну вредоносную программу, которая пересылала украденные данные с локального компьютера в облачное хранилище Dropbox. Последним звеном в цепочке кибератаки является использование третьего набора инструментов, которые отправляют украденные данные на сервер управления и контроля ( C2-сервер ).
Команда Kaspersky продолжит расследование инцидента.
- Источник новости
- www.securitylab.ru