Эксперты рассказали о 17 фреймворках для атак на физически изолированные системы

В одном лишь первом полугодии 2020 года было обнаружено четыре разных вредоносных фреймворка, предназначенных для атак на физически изолированные сети, а общее число этих инструментов, прокладывающих злоумышленникам путь к кибершпионажу и похищению секретной информации, за 15 лет достигло 17.

«Все фреймворки предназначены для определенных форм шпионажа, и все фреймворки используют USB-накопители как физическое средство передачи данных в и из целевых физически изолированных сетей», - рассказали исследователи ESET Алексис Дораис-Йонкас (Alexis Dorais-Joncas) и Факундо Муньос (Facundo Muñoz) в новом исследовании.

Поскольку физическая изоляция является одним из самых распространенных способов защиты SCADA-систем и АСУ ТП, финансируемые государством APT-группы все чаще обращают внимание на критически важную инфраструктуру в надежде внедрить в физически изолированные сети вредоносное ПО для наблюдения за интересующими их целями.

Как сообщают специалисты ESET, фреймворки в основном предназначены для атак на компьютеры под управлением Windows. Не менее 75% фреймворков используют вредоносные файлы LNK или AutoRun на USB-накопителях либо для первоначальной компрометации физически изолированных систем, либо для бокового перемещения в физически изолированных сетях.

Специалистам удалось связать некоторые фреймворки с известными APT-группировками:

Retro – DarkHotel (она же APT-C-06 или Dubnium);

Ramsay – DarkHotel;

USBStealer – APT28 (она же Fancy Bear, Sednit или Sofacy);

USBFerry – Tropic Trooper (она же APT23 или Pirate Panda);

Fanny – Equation Group;

USBCulprit – Goblin Panda (она же Hellsing или Cycldek);

PlugX – Mustang Panda;

Agent.BTZ – Turla Group.

«Каждый фреймворк работает по-своему, но у них есть одна общая черта – они все, без исключения, используют вредоносные USB-накопители. Главное отличие между подключенными и offline-фреймворками заключается в том, каким образом была модифицирована сама флэшка», - сообщили исследователи.

Подключенные фреймворки работают путем развертывания вредоносного компонента в подключенной системе, которая мониторит подключение новых USB-накопителей и автоматически размещает вредоносный код, необходимый для взлома физически изолированной системы. В случае с offline-фреймворками наподобие Brutal Kangaroo, EZCheese и ProjectSauron для осуществления атаки злоумышленники должны заразить вредоносом собственные USB-накопители.

В качестве мер предосторожности организациям с критическими информационными системами рекомендуется заблокировать на подключенных системах доступ к электронной почте, отключить USB-порты, «дезинфицировать» USB-накопители, ограничить выполнение файлов на съемных дисках и регулярно проводить экспертизу изолированных систем на предмет признаков подозрительной активности.