Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Эксперты назвали 5 киберпреступных групп, представляющих угрозу для АСУ

Согласно докладу, опубликованному в четверг компанией Dragos, специализирующейся на промышленной кибербезопасности, существуют, по меньшей мере, пять киберпреступных групп, деятельность которых сосредоточена вокруг АСУ ТП.

Было также отмечено, что целевые атаки становятся все более распространенным явлением. В настоящее время специалисты Dragos отслеживают пять группировок, которые либо атаковали АСУ ТП напрямую, либо проявляли определенный интерес к сбору информации об этом типе систем.

Одна из таких групп получила имя Electrum, она стояла за деятельностью такого вредоноса, как CRASHOVERRIDE/Industroyer, который использовался в декабре 2016 года в кибератаках, вызвавших перебои в подаче электроэнергии в Украине.

Electrum также связана с Sandworm Team, которая, как предполагают эксперты, ответственна за перебои в подаче электроэнергии в Украине в 2015 году. Как это часто бывает, в обеих атаках обвинили Россию.

Несмотря на то, что эта группа в настоящее время не проявляет себя в резонансных атаках, специалисты Dragos убеждены, что Electrum продолжает оставаться активной, есть даже данные о том, что она расширила список своих целей.

«Несмотря на то, что ELECTRUM ранее была сосредоточена исключительно на Украине, у нас есть основания полагать, что эти киберпреступники будут совершать атаки и в других странах. Это будет зависеть от того, на какую страну укажет их заказчик», — говорится в отчете Dragos.

Еще одна группа киберпреступников, за которой наблюдают эксперты Dragos, получила имя Covellite. Covellite связана с северокорейскими киберпреступниками Lazarus. Исследователи начали наблюдать за Covellite в сентябре 2017 года, когда эти злоумышленники провели широкомасштабную фишинговую кампанию против американской электросетевой компании. Позднее появились подозрения, что киберпреступники Covellite также ответственны за атаки на организации в Европе, Северной Америке и Восточной Азии.

В отличие от Electrum, Covellite пока не использует вредоносную программу, специально разработанную для атак АСУ ТП.

В поле зрения Dragos также попала группа Dymalloy, специалисты обнаружили ее во время расследования деятельности киберпреступников Dragonfly (также известна как Crouching Yeti и Energetic Bear). Dragonfly, которая, как считают эксперты, действует из России, известна использованием сложной вредоносной программы Havex, а недавно была замечена в атаках на энергетические системы США.

Dragos полагает, что Dymalloy и Dragonfly напрямую не связаны, так как у Dymalloy нет таких мощных инструментов. Однако это не помешало киберпреступной группе успешно атаковать АСУ ТП в Турции, Европе и Северной Америке. Отмечается, что Dymalloy проявляется меньшую активность с начала 2017 года, скорее всего, из-за повышенного внимания со стороны средств массовой информации и исследователей безопасности.

Четвертая группа, заинтересовавшая Dragos, известна как Chrysene, ее деятельность сосредоточена на атаках Северной Америки, Западной Европы, Израиля и Ирака.

«Вредоносные программы, используемые Chrysene в атаках, достаточно сложны, однако нам не удалось обнаружить у них в арсенале серьезных возможностей для атак систем АСУ ТП. Судя по всему, их деятельность сосредоточена на проникновении и шпионаже», — пишут эксперты Dragos.

И, наконец, последняя группа — Magnallium (она же APT33). Magnallium связана с Ираном, исследования Dragos в отношении этой группы показали, что у нее нет специальных инструментов для атака на АСУ ТП.

Специалисты Dragos также проанализировали 163 источника с рекомендациями, опубликованных в прошлом году ICS-CERT, и на их основе собрали интересную статистику.

В 7-Zip нашли уязвимость: вредоносный XZ-архив может запустить код

В 7-Zip обнаружили опасную уязвимость CVE-2026-14266, которая позволяет атакующему выполнить произвольный код через специально подготовленный XZ-архив. Из-за переполнения буфера приложение может записать данные за пределами выделенной памяти.

Проблема связана с обработкой фрагментированных XZ-данных. Если эксплуатация сработает, злоумышленник получит возможность запускать код с правами текущего процесса 7-Zip.

Для атаки всё же нужно участие пользователя: жертву необходимо убедить открыть вредоносный архив или скачать его с подконтрольного сайта. Поэтому массового автоматического взлома по воздуху здесь нет, зато для фишинга схема подходит прекрасно.

Опасный файл можно замаскировать под обновление, резервную копию, пакет документов или обычный архив из мессенджера. Уязвимость получила 7 баллов из 10 по шкале CVSS.

Аутентификация и предварительный доступ к устройству атакующему не нужны. После успешной эксплуатации он сможет запустить вредонос, украсть доступные пользователю данные, изменить файлы или просто уронить систему.

О случаях применения CVE-2026-14266 в реальных атаках пока не сообщается. Но технические подробности уже опубликованы, а значит, желающие собрать рабочий эксплойт получили неплохую инструкцию к действию.

Разработчики исправили проблему в 7-Zip 26.0. Пользователям советуют обновиться как можно скорее и не открывать неожиданные XZ-архивы из писем, чатов и файловых обменников.

Архив с названием «документы_важное.xz» теперь лучше сначала проверить. Потому что внутри может лежать не документ, а очень инициативный чужой код.

RSS: Новости на портале Anti-Malware.ru