Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Согласно докладу, опубликованному в четверг компанией Dragos, специализирующейся на промышленной кибербезопасности, существуют, по меньшей мере, пять киберпреступных групп, деятельность которых сосредоточена вокруг АСУ ТП.

Было также отмечено, что целевые атаки становятся все более распространенным явлением. В настоящее время специалисты Dragos отслеживают пять группировок, которые либо атаковали АСУ ТП напрямую, либо проявляли определенный интерес к сбору информации об этом типе систем.

Одна из таких групп получила имя Electrum, она стояла за деятельностью такого вредоноса, как CRASHOVERRIDE/Industroyer, который использовался в декабре 2016 года в кибератаках, вызвавших перебои в подаче электроэнергии в Украине.

Electrum также связана с Sandworm Team, которая, как предполагают эксперты, ответственна за перебои в подаче электроэнергии в Украине в 2015 году. Как это часто бывает, в обеих атаках обвинили Россию.

Несмотря на то, что эта группа в настоящее время не проявляет себя в резонансных атаках, специалисты Dragos убеждены, что Electrum продолжает оставаться активной, есть даже данные о том, что она расширила список своих целей.

«Несмотря на то, что ELECTRUM ранее была сосредоточена исключительно на Украине, у нас есть основания полагать, что эти киберпреступники будут совершать атаки и в других странах. Это будет зависеть от того, на какую страну укажет их заказчик», — говорится в отчете Dragos.

Еще одна группа киберпреступников, за которой наблюдают эксперты Dragos, получила имя Covellite. Covellite связана с северокорейскими киберпреступниками Lazarus. Исследователи начали наблюдать за Covellite в сентябре 2017 года, когда эти злоумышленники провели широкомасштабную фишинговую кампанию против американской электросетевой компании. Позднее появились подозрения, что киберпреступники Covellite также ответственны за атаки на организации в Европе, Северной Америке и Восточной Азии.

В отличие от Electrum, Covellite пока не использует вредоносную программу, специально разработанную для атак АСУ ТП.

В поле зрения Dragos также попала группа Dymalloy, специалисты обнаружили ее во время расследования деятельности киберпреступников Dragonfly (также известна как Crouching Yeti и Energetic Bear). Dragonfly, которая, как считают эксперты, действует из России, известна использованием сложной вредоносной программы Havex, а недавно была замечена в атаках на энергетические системы США.

Dragos полагает, что Dymalloy и Dragonfly напрямую не связаны, так как у Dymalloy нет таких мощных инструментов. Однако это не помешало киберпреступной группе успешно атаковать АСУ ТП в Турции, Европе и Северной Америке. Отмечается, что Dymalloy проявляется меньшую активность с начала 2017 года, скорее всего, из-за повышенного внимания со стороны средств массовой информации и исследователей безопасности.

Четвертая группа, заинтересовавшая Dragos, известна как Chrysene, ее деятельность сосредоточена на атаках Северной Америки, Западной Европы, Израиля и Ирака.

«Вредоносные программы, используемые Chrysene в атаках, достаточно сложны, однако нам не удалось обнаружить у них в арсенале серьезных возможностей для атак систем АСУ ТП. Судя по всему, их деятельность сосредоточена на проникновении и шпионаже», — пишут эксперты Dragos.

И, наконец, последняя группа — Magnallium (она же APT33). Magnallium связана с Ираном, исследования Dragos в отношении этой группы показали, что у нее нет специальных инструментов для атака на АСУ ТП.

Специалисты Dragos также проанализировали 163 источника с рекомендациями, опубликованных в прошлом году ICS-CERT, и на их основе собрали интересную статистику.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Борзохакеры Scattered LAPSUS$ Hunters 4.0 заявили, что отходят от дел

В телеграм-канале криминальной группировки Scattered LAPSUS$ Hunters 4.0 появилось неожиданное известие — прощальный привет с отсылкой к заявлению на хакерском форуме, в котором озвучено решение свернуть операции.

Насколько известно, в состав Scattered LAPSUS$ Hunters 4.0 входят бывшие участники Scattered Spider, LAPSUS$ и ShinyHunters — отсюда и столь причудливое название.

Дерзкие налетчики и бахвалы не объявлялись в Telegram трое суток, их фанатам оставалось только гадать о причинах столь долгого молчания. Заявление на BreachForums прояснило ситуацию: взяв паузу, авторы громких атак, по их словам, посоветовались с близкими и окончательно утвердились в намерении уйти в тень.

В постинге также сказано, что нашумевшие нападения на Salesforce, CrowdStrike, Google, производственные мощности Jaguar Land Rover, американские, французские и британские авиакомпании — лишь дымовая завеса, помогающая отвлечь всеобщее внимание от истинных целей кибергруппы.

Заявив об этом, хакеры не преминули лишний раз подразнить ФБР и ИБ-экспертов, упрекнув их в близорукости и тщеславии. По их утверждению, аресты по итогам расследований зачастую были ошибочными: они умышленно подставляли сторонних людей, но так, чтобы это не имело серьезных последствий.

Лес рубят — щепки летят, спецслужбы прекрасно знают эту пословицу, хотя родственников без вины виноватых автору поста искренне жаль (по крайне мере, так сказано). Вместе с тем он подчеркнул: многие инциденты еще не раскрыты, однако спасать козлов отпущения LAPSUS$ Hunters больше не будут.

В пространном заявлении встречаются и философские сентенции, которые могут говорить о том, что печально известные хвастуны и киберхулиганы, наконец, остепенились. Например, такие:

«Таланта и мастерства в наше время недостаточно, миром правят те, принимает решения и имеет власть».

В заключение LAPSUS$ Hunters пишут: их цели достигнуты, пришло время попрощаться. Накопленных миллионов достаточно, чтобы утешить самых недалеких соратников, остальные продолжат изучать и совершенствовать техническое наследие либо просто уйдут на покой.

Что это, действительно прощальный привет или очередная дымовая завеса, на сей раз в духе exit scam, покажет будущее.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru