Исследователи «Лаборатории Касперского» обнаружили масштабную вредоносную кампанию с применением продвинутых тактик и инструментов для шпионажа и кражи данных. Злоумышленники использовали модуль для проникновения в изолированные сети с помощью USB-накопителей, а также бэкдор Linux MATA. В ходе многоступенчатой кибератаки были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы.
Точка невозврата. В сентябре 2022 года в рамках исследования инцидента эксперты «Лаборатории Касперского» обнаружили новые образцы вредоносного ПО семейства MATA, которые ранее связывали с группой Lazarus. Злоумышленники проникли в сеть одного из предприятий с помощью целевых фишинговых писем, которые начали рассылаться в августе 2022 года. После этого атакующие изучили корпоративную сеть жертвы, похитили аутентификационные данные пользователей и смогли подключиться к терминальному серверу материнской компании. В головной организации злоумышленникам удалось повторить успех и добраться до контроллера домена. Скомпрометировав информационные системы, связывающие материнское предприятие с дочерними — сервер финансовой системы и панель управления защитным решением для проверки требований ИБ — злоумышленники получили доступ к сетям нескольких десятков дочерних организаций.
Атакующие продемонстрировали широкие возможности по обходу и использованию в собственных целях защитных решений, установленных в атакованных средах, пользуясь уязвимостями одного из них, а также небезопасными настройками другого. Кроме того, чтобы скрыть вредоносную активность, они применяли множество техник: использование руткитов и портов, уязвимых драйверов, маскировку файлов под пользовательские приложения, открытых для коммуникации легитимных программ, многоуровневое шифрование файлов и сетевой активности вредоносного ПО. Эти и другие аспекты демонстрируют высокий уровень подготовки атакующих.
Эволюция вредоноса. Для реализации атаки злоумышленники использовали сразу три новых поколения вредоносного ПО MATA. Одна из них является доработанной версией MATA
При этом в ситуациях, когда установить прямую коммуникацию с целевой системой не представлялось возможным, атакующие использовали модуль для работы с USB-носителями. Он позволял обмениваться данными с изолированными сетями, которые могут хранить потенциально интересную для злоумышленников информацию.
Кто стоит за атакой. Большая часть вредоносных документов Word содержит корейский шрифт Malgun Gothic (맑은 고딕). Это указывает на то, что разработчик может владеть корейским языком или использует систему, работающую с корейской локализацией. Этот и много других артефактов, найденных во время расследования, указывают на связь с хорошо известной APT Lazarus. Однако однозначно определить, кто стоит за атакой, невозможно. В новых версиях зловреда MATA были обнаружены технические приёмы, набор которых указывает на другие группировки — из альянса Five Eyes. Однако и те, и другие находки могут быть «ложными флагами» для сокрытия истинного бенефициара атаки.
«Защита промышленного сектора от таргетированных атак требует комплексного подхода, сочетающего надёжные методы обеспечения кибербезопасности с проактивными действиями. Глубокие и систематические исследования „Лаборатории Касперского“ тактик и техник, используемых злоумышленниками, позволяют нам следить за постоянно меняющимся ландшафтом киберугроз, а также своевременно обнаруживать новые кампании различных APT-группировок. Постоянно отслеживая новые находки исследователей и внедряя новейшие решения для обеспечения безопасности, предприятия могут выстроить эффективную стратегию защиты», — прокомментировал Вячеслав Копейцев, эксперт по кибербезопасности Kaspersky ICS CERT.
Для защиты от подобных атак, эксперты «Лаборатории Касперского» рекомендуют предприятиям:
- проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
- использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить безопасность всех критически важных промышленных систем;
- обучать сотрудников основам кибергигиены, чтобы снизить риск инцидентов;
- проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
- ограждать от киберугроз ИТ-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.