За три месяца наблюдений специалисты Forescout зафиксировали более 60 миллионов атакующих запросов, направленных на устройства на границе промышленных сетей. Анализ активности в рамках ловушек показал: устройства периметра — промышленные маршрутизаторы и брандмауэры — становятся целью атак гораздо чаще, чем те, что случайно оказались в открытом доступе. Именно они приняли на себя две трети всей вредоносной активности.
Большая часть запросов приходилась на SSH и Telnet, при этом основную угрозу представляли автоматизированные попытки подбора логинов и паролей. HTTP- и HTTPS-запросы, на которые пришлось почти четверть активности, несли в себе попытки эксплуатации уязвимостей и загрузки вредоносных файлов.
Самыми заметными среди последних угроз оказались ботнеты RondoDox и ShadowV2. Первый, зафиксированный лишь в мае, уже применяет более 50 эксплойтов, часть которых не имеет публичных идентификаторов. Второй, появившийся позже, также быстро набирает обороты. Оба используют один и тот же приём — пытаются выполнить команды, которые загрузят вредоносные бинарные файлы на уязвимое устройство.
Особый интерес вызвала группа активности, получившая название Chaya_005. Она ведёт себя нестандартно: среди отправленных HTTP-запросов встречаются эксплойты с ошибками, параметры не соответствуют целевым устройствам, но все действия демонстрируют попытку получить отклик от потенциально уязвимой системы. Это не похоже на типичное поведение ботнетов, но вполне может быть методом создания списка целей для последующего использования — будь то загрузка вредоносного ПО, криптомайнеров или прокси.
Chaya_005 действует как минимум два года. Первоначально её активность была связана с эксплуатацией известной уязвимости в маршрутизаторах Sierra Wireless, но со временем группа переключилась на другие устройства и адреса. Интересно, что часть IP-адресов использовалась повторно с интервалом в год, а вредоносные файлы так и не были загружены — что косвенно указывает на исследовательский или подготовительный характер кампании. Кроме того, IP-адреса, участвовавшие в атаках, не проявляли признаков инфицирования иного рода и не замечались в типичной вредоносной активности.
Нельзя исключить, что за Chaya_005 стоит не злонамеренная, а исследовательская структура, хотя такой сценарий выглядит маловероятным. Наибольшую угрозу, по мнению авторов отчёта, представляют попытки эксплуатации маршрутизаторов, достигших конца срока поддержки. Так, атакуемая модель LS300 лишена обновлений безопасности с 2021 года, а завершение поддержки 3G-сетей дополнительно уменьшает её актуальность как цели. Тем не менее устройства этого типа по-прежнему встречаются в промышленности.
Авторы подчёркивают: в условиях всё более тесной интеграции IT- и OT-сегментов нельзя делить угрозы на «информационные» и «операционные». Один из прошлых инцидентов в энергетическом секторе Дании, когда компании перешли в изолированный режим работы, был вызван заражением маршрутизаторов на границе сети, изначально предназначенных для IT-среды. Такие случаи не единичны — подобная уязвимость инфраструктуры сохраняется на всей территории Европы.
Для защиты сетей специалисты рекомендуют идентифицировать все устройства, менять стандартные пароли, отключать неиспользуемые сервисы, изолировать OT-устройства от публичного интернета и внедрять системы мониторинга, способные распознавать попытки взлома и аномальную активность.