Целевые атаки становятся все более распространенным явлением. Согласно докладу, который представила компания Dragos, специализирующаяся на промышленной кибербезопасности, существует, по меньшей мере, пять киберпреступных групп, деятельность которых сосредоточена вокруг АСУ ТП.
Специалисты Dragos отслеживают эти группировки, которые либо атаковали АСУ ТП напрямую, либо проявляли определенный интерес к сбору информации об этом типе систем. Одна из таких групп получила имя Electrum, она стояла за деятельностью такого вредоноса, как CRASHOVERRIDE/Industroyer, который использовался в декабре 2016 года в кибератаках, вызвавших перебои в подаче электроэнергии в Украине.
Electrum также связана с Sandworm Team, которая, как предполагают эксперты, ответственна за перебои в подаче электроэнергии в Украине в 2015 году. Тогда в обеих атаках обвинили Россию.
Несмотря на то, что эта группа в настоящее время не проявляет себя в резонансных атаках, эксперты убеждены, что Electrum продолжает оставаться активной, есть даже данные о том, что она расширила список своих целей.
«Несмотря на то, что ELECTRUM ранее была сосредоточена исключительно на Украине, у нас есть основания полагать, что эти киберпреступники будут совершать атаки и в других странах. Это будет зависеть от того, на какую страну укажет их заказчик», — говорится в отчете Dragos.
Еще одна группа киберпреступников, за которой наблюдают эксперты Dragos, получила имя Covellite. Covellite связана с северокорейскими киберпреступниками Lazarus. Исследователи начали наблюдать за Covellite в сентябре 2017 года, когда эти злоумышленники провели широкомасштабную фишинговую кампанию против американской электросетевой компании. Позднее появились подозрения, что киберпреступники Covellite также ответственны за атаки на организации в Европе, Северной Америке и Восточной Азии. В отличие от Electrum, Covellite пока не использует вредоносную программу, специально разработанную для атак АСУ ТП.
В поле зрения Dragos также попала группа Dymalloy, специалисты обнаружили ее во время расследования деятельности киберпреступников Dragonfly (также известна как Crouching Yeti и Energetic Bear). Dragonfly действует из России и известна использованием сложной вредоносной программы Havex. Недавно она была замечена в атаках на энергетические системы США. И хотя Dymalloy и Dragonfly напрямую не связаны, так как у Dymalloy нет таких мощных инструментов, однако это не помешало киберпреступной группе успешно атаковать АСУ ТП в Турции, Европе и Северной Америке.
Отмечается, что Dymalloy проявляется меньшую активность с начала 2017 года, скорее всего, из-за повышенного внимания со стороны средств массовой информации и исследователей безопасности.
Четвертая группа, заинтересовавшая Dragos, известна как Chrysene, ее деятельность сосредоточена на атаках Северной Америки, Западной Европы, Израиля и Ирака.
«Вредоносные программы, используемые Chrysene в атаках, достаточно сложны, однако нам не удалось обнаружить у них в арсенале серьезных возможностей для атак систем АСУ ТП. Судя по всему, их деятельность сосредоточена на проникновении и шпионаже», — пишут эксперты Dragos. И, наконец, последняя группа — Magnallium (она же APT33). Magnallium связана с Ираном, исследования Dragos в отношении этой группы показали, что у нее нет специальных инструментов для атака на АСУ ТП.
.jpg)
.png)