ФБР предупредило о вредоносном ПО, которое может захватывать устройства систем управления критической инфраструктуры

Правительственные агентства США предупреждают, что поддерживаемые государством хакеры разработали специальное вредоносное ПО , которое позволяет им компрометировать и захватывать широко используемые устройства промышленной системы управления (ICS).

В бюллетене, опубликованном совместно Агентством по кибербезопасности и безопасности инфраструктуры (CISA), ФБР, АНБ и Министерством энергетики, содержится предупреждение о том, что злоумышленники разработали специальный набор инструментов, который позволяет им сканировать, компрометировать и контролировать устройства АСУ, когда они повторно подключены к сети операционных технологий (OT). Эти инструменты специально разработаны для работы с программируемыми логическими контроллерами (ПЛК) производства Schneider Electric и Omron.

У хакеров также есть вредоносное ПО, которое использует эксплойт для атак на системы Windows с материнскими платами ASRock для выполнения вредоносного кода, а также для бокового перемещения и нарушения работы ИТ- или ОТ-среды.

«Компрометируя и поддерживая полный системный доступ к устройствам ICS/SCADA, субъекты APT могут повышать привилегии, перемещаться в горизонтальном направлении в среде OT и нарушать работу критически важных устройств или функций», — предупреждает бюллетень.

Хотя федеральные агентства не предоставили никакой дополнительной информации о хакерских инструментах и ​​вредоносных программах, упомянутых в бюллетене, компания Mandiant, занимающаяся разведкой в ​​области безопасности, заявила, что с начала 2022 года она анализирует инструменты для атак, ориентированные на АСУ ТП, которые она назвала Incontroller.

«Incontroller представляет собой исключительно редкую и опасную возможность кибератаки», — написал Mandiant в своем анализе угрозы , добавив, что его можно сравнить с Triton, Student и Industroyer. Последний использовался поддерживаемой россией группой Sandworm APT для отключения электроэнергии в Украине в 2016 году, в результате чего сотни тысяч потребителей остались без электричества за два дня до Рождества.

Модифицированный вариант, получивший название «Industroyer2», недавно был развернут теми же злоумышленниками при попытке отключить украинского поставщика электроэнергии, но эта попытка была успешно сорвана Украинской группой реагирования на компьютерные чрезвычайные ситуации (CERT-UA).

Mandiant добавил, что Incontroller, который, по его словам, может быть использован для остановки критически важного оборудования, саботажа промышленных процессов и отключения контроллеров безопасности, «весьма вероятно» будет спонсироваться государством, учитывая его сложность и «ограниченную полезность в финансово мотивированных операциях».

Фирма по кибербезопасности заявила, что не может связать вредоносное ПО с известной группой, но заявила, что ее деятельность «согласуется с историческим интересом россии к АСУ».

Стартап промышленной кибербезопасности Dragos также отслеживал набор инструментов под названием «Pipedream», который, по его словам, был создан поддерживаемой государством группой угроз под названием Chernovite, которая разработала вредоносное ПО для проведения «подрывных или деструктивных операций против АСУ ТП».

Роберт Ли, генеральный директор и соучредитель Dragos, сказал, что, хотя целевые контроллеры распространены в различных отраслях, исследователи полагают, что предполагаемыми целями хакеров были сжиженный природный газ и электрические установки. Однако он добавил, что на сегодняшний день вредоносное ПО не использовалось в целевых сетях.

Правительственные агентства США призвали критически важные инфраструктурные организации, особенно те, которые связаны с энергетикой, принять такие меры, как многофакторная аутентификация и последовательная смена паролей для защиты своих систем управления.

По материалам: Techcrunch