«Лаборатория Касперского» представила вторую часть своего исследования, посвящённого анализу серии кибератак на промышленные предприятия.
Учитывая сходство этих хакерских кампаний с теми, которые были изучены ранее (например, ExCone и DexCone), в том числе применение вариантов FourteenHi, определённых тактик, техник и процедур, а также целевой выбор для кибератак, специалисты «Лаборатории Касперского» предполагают с умеренной или высокой степенью уверенности, что за описанной в отчёте злонамеренной киберактивностью стоят хакеры из группировки APT31, также известной под названием Judgment Panda и Zirconium.
В процессе атак на промышленные предприятия киберпреступники старались установить непрерывно действующий канал для вывода украденной конфиденциальной информации, включая сведения, которые размещаются на физически изолированных системах, так называемые air-gapped.
В результате исследователи «Лаборатории Касперского» смогли обнаружить свыше 15 имплантов и их вариаций, которые были установлены хакерами в различных комбинациях. Эти импланты, использованные в хакерских атаках, можно разделить на три категории, основываясь на их функциональности:
- «импланты первого этапа» обеспечивают беспрерывный дистанционный доступ и первоначальный сбор конфиденциальной информации;
- «второго этапа» собирают данные и файлы, включая информацию с физически изолированных систем;
- «третьего этапа» предоставляют инструментарий для выгрузки данных на сервер злоумышленников.
Новая часть исследования посвящается вредоносным имплантам второго этапа, которые применяются для сбора данных в скомпрометированных IT-инфраструктурах. Эксперты «Лаборатории Касперского» подчеркнули, что было выявлено два типа таких имплантов: первого типа используются для сбора и архивации различных видов данных на локальной машине; второго типа — для сбора данных о съёмных носителях, их теневого копирования и заражения вредоносным ПО, что помогает украсть информацию даже из физически изолированных сетей.
Полная версия отчета представлена по ссылке.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
