Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Согласно докладу, опубликованному в четверг компанией Dragos, специализирующейся на промышленной кибербезопасности, существуют, по меньшей мере, пять киберпреступных групп, деятельность которых сосредоточена вокруг АСУ ТП.

Было также отмечено, что целевые атаки становятся все более распространенным явлением. В настоящее время специалисты Dragos отслеживают пять группировок, которые либо атаковали АСУ ТП напрямую, либо проявляли определенный интерес к сбору информации об этом типе систем.

Одна из таких групп получила имя Electrum, она стояла за деятельностью такого вредоноса, как CRASHOVERRIDE/Industroyer, который использовался в декабре 2016 года в кибератаках, вызвавших перебои в подаче электроэнергии в Украине.

Electrum также связана с Sandworm Team, которая, как предполагают эксперты, ответственна за перебои в подаче электроэнергии в Украине в 2015 году. Как это часто бывает, в обеих атаках обвинили Россию.

Несмотря на то, что эта группа в настоящее время не проявляет себя в резонансных атаках, специалисты Dragos убеждены, что Electrum продолжает оставаться активной, есть даже данные о том, что она расширила список своих целей.

«Несмотря на то, что ELECTRUM ранее была сосредоточена исключительно на Украине, у нас есть основания полагать, что эти киберпреступники будут совершать атаки и в других странах. Это будет зависеть от того, на какую страну укажет их заказчик», — говорится в отчете Dragos.

Еще одна группа киберпреступников, за которой наблюдают эксперты Dragos, получила имя Covellite. Covellite связана с северокорейскими киберпреступниками Lazarus. Исследователи начали наблюдать за Covellite в сентябре 2017 года, когда эти злоумышленники провели широкомасштабную фишинговую кампанию против американской электросетевой компании. Позднее появились подозрения, что киберпреступники Covellite также ответственны за атаки на организации в Европе, Северной Америке и Восточной Азии.

В отличие от Electrum, Covellite пока не использует вредоносную программу, специально разработанную для атак АСУ ТП.

В поле зрения Dragos также попала группа Dymalloy, специалисты обнаружили ее во время расследования деятельности киберпреступников Dragonfly (также известна как Crouching Yeti и Energetic Bear). Dragonfly, которая, как считают эксперты, действует из России, известна использованием сложной вредоносной программы Havex, а недавно была замечена в атаках на энергетические системы США.

Dragos полагает, что Dymalloy и Dragonfly напрямую не связаны, так как у Dymalloy нет таких мощных инструментов. Однако это не помешало киберпреступной группе успешно атаковать АСУ ТП в Турции, Европе и Северной Америке. Отмечается, что Dymalloy проявляется меньшую активность с начала 2017 года, скорее всего, из-за повышенного внимания со стороны средств массовой информации и исследователей безопасности.

Четвертая группа, заинтересовавшая Dragos, известна как Chrysene, ее деятельность сосредоточена на атаках Северной Америки, Западной Европы, Израиля и Ирака.

«Вредоносные программы, используемые Chrysene в атаках, достаточно сложны, однако нам не удалось обнаружить у них в арсенале серьезных возможностей для атак систем АСУ ТП. Судя по всему, их деятельность сосредоточена на проникновении и шпионаже», — пишут эксперты Dragos.

И, наконец, последняя группа — Magnallium (она же APT33). Magnallium связана с Ираном, исследования Dragos в отношении этой группы показали, что у нее нет специальных инструментов для атака на АСУ ТП.

Специалисты Dragos также проанализировали 163 источника с рекомендациями, опубликованных в прошлом году ICS-CERT, и на их основе собрали интересную статистику.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Найдены 3 критические RCE-уязвимости в Atlantis Word Processor

Исследователи Cisco Talos обнаружили ряд критических уязвимостей в Atlantis Word Processor, которые позволяют удаленному атакующему выполнить произвольный код и получить контроль над атакуемыми компьютерами.

Atlantis Word Processor представляет собой неплохую альтернативу Microsoft Word, это приложение дает возможность создавать, читать и редактировать документы Word. Также эту программу можно использовать для конвертации форматов TXT, RTF, ODT, DOC, WRI или DOCX в ePub.

Всего лишь спустя 50 дней после обнародования информации о 8 дырах удаленного выполнения кода команда Talos опубликовала proof-of-concept для еще 3 брешей в безопасности, которые также приводят к выполнению произвольного кода.

Все три новые уязвимости открывают для злоумышленника возможность повредить память приложения и выполнить вредоносный код в контексте программы. Вот список этих проблем с пояснениями:

  • Некорректный подсчет размера буфера (CVE-2018-4038) — уязвимость удаленного процесса записи, затрагивающая парсер форматов Atlantis Word Processor.
  • Некорректная валидация индекса Array (CVE-2018-4039) — уязвимость записи за пределами границ, присутствует в PNG-имплементации.
  • Использование неинициализированных переменных (CVE-2018-4040) — брешь присутствует в парсере форматов Atlantis Word Processor.

Все эти проблемы безопасности затрагивают Atlantis Word Processor версий 3.2.7.1 и 3.2.7.2. Атакующий может использовать их, если заставит жертву открыть специально подготовленный документ. Именно поэтому стоит уделять особое внимание прикрепленным к электронным письмам файлам.

Обнаружившие проблемы эксперты связались с разработчиками, после чего те выпустили версию 3.2.10.1, в которой данные проблемы устранены. Всем пользователям рекомендуется установить апдейт как можно скорее.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru