С 2024 года хакерская группа SideWinder начала проводить сложные кибератаки (APT) на объекты атомной энергетики в Южной Азии, включая атомные электростанции и агентства по атомной энергии. Эксперты из Kaspersky GReAT (Глобальный центр исследований и анализа угроз «Лаборатории Касперского») выявили эту активность.
Основная цель атакующих — кибершпионаж. При этом география атак значительно расширилась, охватив страны Африки, Юго-Восточной Азии и некоторые регионы Европы.
Как проходят атаки на атомную инфраструктуру
Злоумышленники используют классический метод фишинговых рассылок с вредоносными документами. Они составляют правдоподобные письма, затрагивающие темы регулирования отрасли или деятельности конкретных предприятий, включая специализированную терминологию. Если получатель открывает вложение, активируется уязвимость, позволяя хакерам получить доступ к конфиденциальным данным об атомных объектах, исследованиях и сотрудниках.
Для атак SideWinder применяет сложное вредоносное ПО, в том числе известный StealerBot и эксплойты уязвимостей, таких как CVE-2017-11882 в Microsoft Office. Однако группа адаптирует свои инструменты — в некоторых случаях модификации вредоносного ПО появляются менее чем за пять часов, что затрудняет их обнаружение.
Новые цели и расширение атак
Группа SideWinder действует с 2012 года и ранее нацеливалась в основном на государственные, военные и дипломатические организации. Однако в 2024 году в список целей добавились объекты атомной энергетики, морская инфраструктура и логистические компании.
География атак также расширилась: «Лаборатория Касперского» зафиксировала активность SideWinder в 15 странах на трёх континентах. В частности, атаки отмечены в Джибути, после чего злоумышленники переключились на цели в Египте, Мозамбике, Австрии, Болгарии, Камбодже, Индонезии, на Филиппинах и во Вьетнаме. Дипломатические учреждения в Афганистане, Алжире, Руанде, Саудовской Аравии, Турции и Уганде также столкнулись с их действиями.
Эволюция угроз
Василий Бердников, ведущий эксперт Kaspersky GReAT, отметил, что атаки SideWinder не только расширяют географию, но и эволюционируют технически. Злоумышленники с высокой скоростью адаптируют свои инструменты, меняя саму природу киберугроз: теперь требуется не просто реагирование, а противостояние в режиме реального времени.
«Лаборатория Касперского» предлагает для защиты организаций от подобных угроз использовать многослойные системы безопасности, управление уязвимостями и автоматическое обнаружение атак в реальном времени. Чтобы минимизировать риск целевых атак, эксперты рекомендуют:
- регулярно обновлять операционные системы и ПО на корпоративных устройствах,
- использовать комплексные решения
- обучать сотрудников основам кибербезопасности, включая выявление фишинговых атак, с помощью платформы Kaspersky Automated Security Awareness Platform.