Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Согласно докладу, опубликованному в четверг компанией Dragos, специализирующейся на промышленной кибербезопасности, существуют, по меньшей мере, пять киберпреступных групп, деятельность которых сосредоточена вокруг АСУ ТП.

Было также отмечено, что целевые атаки становятся все более распространенным явлением. В настоящее время специалисты Dragos отслеживают пять группировок, которые либо атаковали АСУ ТП напрямую, либо проявляли определенный интерес к сбору информации об этом типе систем.

Одна из таких групп получила имя Electrum, она стояла за деятельностью такого вредоноса, как CRASHOVERRIDE/Industroyer, который использовался в декабре 2016 года в кибератаках, вызвавших перебои в подаче электроэнергии в Украине.

Electrum также связана с Sandworm Team, которая, как предполагают эксперты, ответственна за перебои в подаче электроэнергии в Украине в 2015 году. Как это часто бывает, в обеих атаках обвинили Россию.

Несмотря на то, что эта группа в настоящее время не проявляет себя в резонансных атаках, специалисты Dragos убеждены, что Electrum продолжает оставаться активной, есть даже данные о том, что она расширила список своих целей.

«Несмотря на то, что ELECTRUM ранее была сосредоточена исключительно на Украине, у нас есть основания полагать, что эти киберпреступники будут совершать атаки и в других странах. Это будет зависеть от того, на какую страну укажет их заказчик», — говорится в отчете Dragos.

Еще одна группа киберпреступников, за которой наблюдают эксперты Dragos, получила имя Covellite. Covellite связана с северокорейскими киберпреступниками Lazarus. Исследователи начали наблюдать за Covellite в сентябре 2017 года, когда эти злоумышленники провели широкомасштабную фишинговую кампанию против американской электросетевой компании. Позднее появились подозрения, что киберпреступники Covellite также ответственны за атаки на организации в Европе, Северной Америке и Восточной Азии.

В отличие от Electrum, Covellite пока не использует вредоносную программу, специально разработанную для атак АСУ ТП.

В поле зрения Dragos также попала группа Dymalloy, специалисты обнаружили ее во время расследования деятельности киберпреступников Dragonfly (также известна как Crouching Yeti и Energetic Bear). Dragonfly, которая, как считают эксперты, действует из России, известна использованием сложной вредоносной программы Havex, а недавно была замечена в атаках на энергетические системы США.

Dragos полагает, что Dymalloy и Dragonfly напрямую не связаны, так как у Dymalloy нет таких мощных инструментов. Однако это не помешало киберпреступной группе успешно атаковать АСУ ТП в Турции, Европе и Северной Америке. Отмечается, что Dymalloy проявляется меньшую активность с начала 2017 года, скорее всего, из-за повышенного внимания со стороны средств массовой информации и исследователей безопасности.

Четвертая группа, заинтересовавшая Dragos, известна как Chrysene, ее деятельность сосредоточена на атаках Северной Америки, Западной Европы, Израиля и Ирака.

«Вредоносные программы, используемые Chrysene в атаках, достаточно сложны, однако нам не удалось обнаружить у них в арсенале серьезных возможностей для атак систем АСУ ТП. Судя по всему, их деятельность сосредоточена на проникновении и шпионаже», — пишут эксперты Dragos.

И, наконец, последняя группа — Magnallium (она же APT33). Magnallium связана с Ираном, исследования Dragos в отношении этой группы показали, что у нее нет специальных инструментов для атака на АСУ ТП.

Специалисты Dragos также проанализировали 163 источника с рекомендациями, опубликованных в прошлом году ICS-CERT, и на их основе собрали интересную статистику.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Play Store нашли 200 Android-приложений, скрывающих шпион Facestealer

Более 200 приложений для Android, замаскированных под фоторедакторы, фитнес-трекеры, игры-головоломки и тому подобный софт, распространяют шпионскую программу под именем Facestealer. Задача вредоноса — достать учётные данные жертвы и другую важную информацию.

Как объясняют исследователи из Trend Micro в отчёте, Facestealer схож по функциональности с другим известным Android-трояном — Joker. Кстати, «Джокер» на прошлой неделе снова прокрался в Google Play Store под видом PDF-сканера.

У Facestealer и Joker общая черта заключается в большом количестве вариантов: оба зловреда часто меняют свой код и таким образом плодят семплы. С момента обнаружения Facestealer шпионская программа постоянно норовит попасть в Google Play Store. Больше всего вредонос интересуется учётными данными от Facebook-аккаунтов пользователей.

Из 200 обнаруженных приложений 42 оказались VPN-сервисами, 20 — софтом для камеры, 13 — фоторедакторами. Помимо логинов и паролей, Facestealer пытается украсть файлы cookies и персональные данные, указанные в аккаунтах.

Также специалисты Trend Micro обнаружили 40 вредоносных приложений, ориентированных на интересующихся цифровой валютой пользователей. Они подписывают жертву на платные сервисы, а также вставляют навязчивую рекламу.

 

Кроме того, можно упомянуть исследование NortonLifeLock и Бостонского университета, в котором аналитики представили интересную статистику: потенциально опасные Android-приложения установили более 11,7 млн пользователей в период с 2019 по 2020 год.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru