"Энергетический русский медведь" наводит ужас на западные корпорации
Повсеместные атаки
Манера атаки дает возможность хакерам из России контролировать системы управления промышленности удаленно, во многом таким же образом, как Израиль и США использовали компьютерный червь Stuxnet в 2009 году для управления компьютерами Иранского ядерного комплекса, что дало им возможность уничтожить пятую часть снабжения ураном в стране.
Атаки российских хакеров на более чем 1000 организаций в более чем 84 странах, были впервые замечены в августе 2012 года исследователями компании CrowdStrike из Ирвина в Калифорнии, занимающейся компьютерной безопасностью. Специалисты фирмы обратили внимание на необычно изощренно работающую и агрессивную группу из России, которая избрала своей целью сектор энергетики, помимо здравоохранения и подрядчиков правительственных учреждений и оборонных ведомств.
Осторожный "Энергетический медведь"
Группу назвали "Энергетический медведь", так как большинство ее жертв были нефтяные и газовые компании. Представители CrowdStrike считают, что хакеры работают с ведома и при поддержке российского правительства, принимая во внимание ресурсы и изощренность, а также то, что атаки совершались в рабочие часы по московскому времени.
В прошлый понедельник еще одна компания компьютерной безопасности Symantec из Mountain View в Калифорнии выпустила отчет, содержащий подобные выводы, а также дополнительно новый элемент - наличие функции удаленного управления, подобной Stuxnet.
Помимо обычных хакерских методов, как массовое отправление электронных писем с вредоносными ссылками и прикреплениями, группа заражала веб-сайты, посещаемые работниками и инвесторами энергетического сектора способом, известным как Watering hole. В данном типе атаки вместо того, чтобы иметь своей целью напрямую сеть компьютера жертвы, хакеры заражают вредоносными программами веб-сайты, которые их подопечные посещают наиболее часто, вроде онлайн меню китайского ресторана. Ничего не подозревающий служащий нужного предприятия посещая указанный сайт непреднамеренно скачивает стороннюю программу, давая хакеру доступ в сеть компьютеров данного работника.
Исследователи отмечают тщательность, с которой хакеры из России заметают следы. Они скрывают свои программы специальной кодировкой, затрудняющей обнаружение их инструментария и источник происхождения. В некоторых случаях, отмечают исследователи, хакеры пытаются вторгнуться в центральную часть машин жертвы, ту часть, которая известна под названием BIOS или другими словами основную систему ввода/вывода. В отличие от программного обеспечения, которое можно пролечить или апдейтить-обновить, при заражении аппаратного обеспечения компьютера, последний обычно выходит из строя.
Русские трояны?
Фирма компьютерной безопасности из Финляндии F-Secure на прошлой неделе также поставила в известность своих клиентов о российской хакерской группе, которую Symantec окрестила "Dragonfly" ("Стрекоза"). В последние полгода деятельность группы стала особенно агрессивной и изощренной.
Российские хакеры вламываются в сети программного обеспечения промышленного контроля или сокращенно I.C.S., вживляя, так называемых Троянов в программы, используемые многими нефтяными и газовыми компаниями, позволяющими служащим управлять промышленным производством удаленно. В подобных случаях, когда нефтяные и газовые компании обновляют программное обеспечение, чтобы получить новейшую версию, они одновременно скачивают, ничего не подозревая, заодно и хакерскую программу.
Не менее трех разработчиков программного обеспечения промышленного контроля были подвергнуты нападению, сообщают Symantec, F-Secure и CrowdStrike. Один из них - изготовитель инструментов удаленного доступа для промышленных систем управления; второй - Европейский изготовитель специализированных средств промышленного контроля и третий - Европейская компания, разрабатывающая системы управления ветряными двигателями, установками переработки природного газа и другими энергетическими инфраструктурами.
По оценке работников исследовательских компаний, более 250 организаций загрузили зараженные обновления программного обеспечения.
"Подобные внедрения не только позволяют хакерам закрепиться в компьютерных сетях указанных организаций, но также дали им в руки средства осуществлять операции саботажа в зараженных компьютерах сети I.C.S. (программного обеспечения промышленного контроля) ", пишет в своем отчете Symantec.
Цели хакеров
Данные действия не указывают на то, что российская группа намеревалась использовать плацдарм в некоторых компьютерных сетях для нанесения ущерба вроде подрыва нефтепромысловой площадки или электростанции, говорит директор отдела реагирования Symantec Кевин Хейли в своем интервью. Очевидный мотив хакеров был узнать побольше об операциях в энергетических компаниях, их стратегических планах и используемых технологиях, продолжает г-н Хейли. "Однако наличие потенциальной возможности саботажа налицо", - подчеркивает специалист.
В последнее время "Энергетический медведь" нацелился на компании финансовой сферы, говорит начальник отдела разведки угроз компании CrowdStrike Адам Майерс. В особенности группа атаковала с помощью метода Watering hole некоторые веб-сайты, посещаемые сотрудниками фирм, занимающимися инвестициями в сектор энергетики.
Стоит только посетить зараженный сайт, говорит г-н Мейерс, атакующие вирусы проникают в систему, сканируют устройство на предмет стоит ли его взламывать и затем внедряют изощренный хакерский инструментарий. В тех компьютерах, где их ничего не заинтересовало, хакеры просто вычищают следы своих инструментов и двигаются дальше.
"Работают чрезвычайно агрессивно", продолжает Майерс, "И так же тщательно заметают следы".
Рубрика: Статьи / Изнутри
Просмотров: 4191 Метки: трояны , кибербезопасность
Оставьте комментарий!