«Лаборатория Касперского» обнаружила многоступенчатую кибератаку на десятки предприятий Восточной Европы
Исследователи «Лаборатории Касперского» обнаружили масштабную вредоносную кампанию с применением продвинутых тактик и инструментов для шпионажа и кражи данных. Злоумышленники использовали модуль для проникновения в изолированные сети с помощью USB-накопителей, а также бэкдор Linux MATA. В ходе многоступенчатой кибератаки были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы. Об этом CNews сообщили представители Лаборатории Касперского».
Точка невозврата. В сентябре 2022 г. в рамках исследования инцидента эксперты «Лаборатории Касперского» обнаружили новые образцы вредоносного ПО семейства MATA, которые ранее связывали с группой Lazarus. Злоумышленники проникли в сеть одного из предприятий с помощью целевых фишинговых писем, которые начали рассылаться в августе 2022 г. После этого атакующие изучили корпоративную сеть жертвы, похитили аутентификационные данные пользователей и смогли подключиться к терминальному серверу материнской компании. В головной организации злоумышленникам удалось повторить успех и добраться до контроллера домена. Скомпрометировав информационные системы, связывающие материнское предприятие с дочерними — сервер финансовой системы и панель управления защитным решением для проверки требований ИБ — злоумышленники получили доступ к сетям нескольких десятков дочерних организаций.
Атакующие продемонстрировали широкие возможности по обходу и использованию в собственных целях защитных решений, установленных в атакованных средах, пользуясь уязвимостями одного из них, а также небезопасными настройками другого. Кроме того, чтобы скрыть вредоносную активность, они применяли множество техник: использование руткитов и портов, уязвимых драйверов, маскировку файлов под пользовательские приложения, открытых для коммуникации легитимных программ, многоуровневое шифрование файлов и сетевой активности вредоносного ПО. Эти и другие аспекты демонстрируют высокий уровень подготовки атакующих.
Эволюция вредоноса. Для реализации атаки злоумышленники использовали сразу три новых поколения вредоносного ПО MATA. Одна из них является доработанной версией MATA второго поколения. Следующая, которой эксперты «Лаборатории Касперского» присвоили имя MataDoor еще осенью 2022 г., была написана с нуля и может рассматриваться как версия четвертого поколения. Версия пятого поколения также была создана с нуля. Другой примечательной составляющей этой сложной атаки является то, что целями злоумышленников также стали cерверы, работающие под управлением UNIX-подобных операционных систем. Захват панели управления защитным решением, в совокупности с применением версии вредоносного ПО MATA для Linux, позволило злоумышленникам получить доступ практически ко всем системам атакованных предприятий, в том числе к тем, которые не входили в домен.
При этом в ситуациях, когда установить прямую коммуникацию с целевой системой не представлялось возможным, атакующие использовали модуль для работы с USB-носителями. Он позволял обмениваться данными с изолированными сетями, которые могут хранить потенциально интересную для злоумышленников информацию.
Кто стоит за атакой. Большая часть вредоносных документов Word содержит корейский шрифт Malgun Gothic. Это указывает на то, что разработчик может владеть корейским языком или использует систему, работающую с корейской локализацией. Этот и много других артефактов, найденных во время расследования, указывают на связь с хорошо известной APT Lazarus. Однако однозначно определить, кто стоит за атакой, невозможно. В новых версиях зловреда MATA были обнаружены технические приемы, набор которых указывает на другие группировки — из альянса Five Eyes. Однако и те, и другие находки могут быть «ложными флагами» для сокрытия истинного бенефициара атаки.
«Защита промышленного сектора от таргетированных атак требует комплексного подхода, сочетающего надежные методы обеспечения кибербезопасности с проактивными действиями. Глубокие и систематические исследования «Лаборатории Касперского» тактик и техник, используемых злоумышленниками, позволяют нам следить за постоянно меняющимся ландшафтом киберугроз, а также своевременно обнаруживать новые кампании различных APT-группировок. Постоянно отслеживая новые находки исследователей и внедряя новейшие решения для обеспечения безопасности, предприятия могут выстроить эффективную стратегию защиты», — сказал Вячеслав Копейцев, эксперт по кибербезопасности Kaspersky ICS CERT.
Для защиты от подобных атак, эксперты «Лаборатории Касперского» рекомендуют предприятиям: проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности; использовать защитные решения для конечных устройств ОТ и сетей, чтобы обеспечить безопасность всех критически важных промышленных систем; обучать сотрудников основам кибергигиены, чтобы снизить риск инцидентов; проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники; ограждать от киберугроз ИТ-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.