Эксперты Kaspersky ICS CERT обнаружили атаки неидентифицированной китайскоговорящей кибергруппы, нацеленные на телекоммуникационные, производственные и транспортные организации в Пакистане, Афганистане и Малайзии. Впервые атаки были зафиксированы в середине октября 2021 года. Бэкдор ShadowPad был обнаружен на нескольких системах АСУ в Пакистане, в частности рабочих станциях инженеров систем управления зданиями. Для получения первоначального доступа в некоторых случаях использовалась уязвимость в Microsoft Exchange.
В исследованной серии атак внимание экспертов привлекла компрометация рабочих станций инженеров систем автоматизации зданий. И дело не только в том, что такое редко наблюдается в целевых атаках.
Система управления зданием — интересная цель для некоторых злоумышленников, ведь она может включать в себя управление различными функциями жизнеобеспечения, такими как электроснабжение, отопление, освещение, кондиционирование и вентиляция, и часто бывает интегрирована с системами, реализующими функции обеспечения физической безопасности здания, например видеонаблюдения и контроля доступа.
Однако стоит иметь в виду, что, получив над ней контроль, атакующий может проникнуть и в другие информационные системы, развёрнутые на объекте, относящиеся как к IT-, так и к OT-сегментам. На практике очень часто эти системы могут не быть изолированы друг от друга в необходимой степени.
Несмотря на то, что основной инструмент — бэкдор ShadowPad — весьма часто используется различными продвинутыми китайскоговорящими кибергруппами, в исследованных атаках злоумышленники использовали весьма уникальный набор тактик и техник, который не позволяет с достаточной надёжностью отнести их к какой-либо из широко известных групп.
В некоторых случаях в качестве первоначального вектора использовалась известная уязвимость в Microsoft Exchange. Команды для сбора информации и продвижения в сети злоумышленники вводили сначала вручную, затем автоматизировали отработанную в ручном режиме последовательность действий.
«Системы управления зданиями редко становятся мишенями атак APT-групп. Однако они могут быть ценным источником строго конфиденциальной информации, и из них злоумышленники могут проникать и в более тщательно охраняемые области инфраструктуры атакованного объекта. Поскольку такие атаки могут развиваться быстро и в различных направлениях, их нужно детектировать на самых ранних этапах. Наш совет — вести постоянное наблюдение за системами управления зданиями в критических секторах», — комментирует Кирилл Круглов, эксперт команды Kaspersky ICS CERT.
Более подробно об этих атаках можно прочитать в отчёте.
Для защиты компьютеров АСУ от киберугроз «Лаборатория Касперского» рекомендует:
- регулярно обновлять операционные системы и приложения, которые являются частью ОТ-инфраструктуры, и устанавливать патчи сразу, как только они выходят;
- регулярно проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
- использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
- проводить тренинги для ИБ-специалистов и ОТ-инженеров для улучшения качества реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
- предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз. Сервис ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также о наиболее уязвимых элементах в ОТ и о том, как повысить их устойчивость;
- использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить безопасность всех критически важных промышленных систем;
- ограждать от киберугроз IT-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.
