АНБ-эксплойт DoublePulsar адаптирован для атак систем Windows IoT

Олег Иванов 27 Июня 2018 - 15:10

...

Исследователь в области безопасности, известный под псевдонимом Capt. Meelo модифицировал инструмент взлома DoublePulsar, используемый АНБ, для работы под операционной системой Windows IoT (ранее известной как Windows Embedded).

DoublePulsar — инструмент, разработанный Агентством национальной безопасности (АНБ) США. Он был обнародован киберпреступной группой Shadow Brokers, которой удалось украсть DoublePulsar у агентства.

По сути, DoublePulsar представляет собой пейлоад режима ядра, который действует в качестве бэкдора в скомпрометированных системах. DoublePulsar предназначен для использования только в связке с другими инструментами АНБ.

То есть схема атаки должна была выглядеть так: операторы АНБ используют фреймворк FuzzBunch (также слит Shadow Brokers) вместе с пакетом эксплойтов (EternalBlue, EternalSynergy, EternalRomance), чтобы получить доступ к системе, а затем уже в ход идет DoublePulsar.

Подробный анализ оригинального семпла DoublePulsar доступен здесь.

Когда DoublePulsar впервые был опубликован, он работал со всеми версиями Windows, за исключением Windows 10. Злоумышленники сразу же начали проверять его эффективность, в итоге специалисты зафиксировали более 36 000 компьютеров, зараженных DoublePulsar.

К слову, DoublePulsar обнаруживается антивирусными продуктами.

Однако после модификации кода, которую совершил на этой неделе Capt. Meelo, этот вредонос можно использовать для атак систем Windows IoT. Эту систему используют IoT-устройства, POS-терминалы и банкоматы.

В обновлении MS17-010 проблема DoublePulsar для этих систем устраняется.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 25 Июля 2025 - 14:11

Целевые атаки Таргетированные атаки Корпорации Государство Информзащита

Атаки на SCADA-системы выросли на 27% — чаще всего страдает энергетика

Атаки на промышленные системы управления в России продолжают набирать обороты. По данным исследования «Информзащиты», в первом полугодии 2025 года количество кибератак на SCADA-системы увеличилось на 27% по сравнению с тем же периодом 2024-го.

Причины всё те же: активная цифровизация производств, подключение устаревшего оборудования к внешним сетям и слабая защита таких систем.

SCADA используется для управления крупными и разбросанными объектами — вроде электросетей или трубопроводов. Устройства вроде ПЛК и удалённых терминалов, через которые система получает данные, часто выходят в интернет — и становятся уязвимыми для атак.

«Сегодня подключение к интернету и сетям подрядчиков или техподдержки стало обычной практикой. Но вот защищены такие подключения далеко не всегда», — говорит Игорь Рыжов, замдиректора Центра промышленной безопасности «Информзащиты».

Больше всего атак зафиксировано в энергетике (38% от общего числа), на предприятиях машиностроения (21%), в химической и нефтехимической отраслях (17%) и в пищевой промышленности (11%).

Что самое тревожное — успешная атака на SCADA может привести не просто к сбоям, а к серьёзным последствиям: от остановки конвейера до выхода из строя оборудования, утечек опасных веществ, рисков для жизни персонала и даже экологических катастроф. Бывают и внутренние инциденты — когда вред наносят свои же сотрудники, намеренно или по неосторожности.

«В отличие от ИТ-систем, где максимум — потеря данных, здесь последствия могут быть физическими: аварии, взрывы, отравления. Это уже совсем другой уровень угроз», — подчёркивает Рыжов.

Чтобы снизить риски, «Информзащита» советует предприятиям:

внедрить многофакторную аутентификацию для доступа извне;
регулярно проверять систему на уязвимости;
следить за всеми изменениями в инфраструктуре;
обновить устаревшее оборудование;
обеспечить круглосуточный мониторинг и готовность реагировать на инциденты;
и, конечно, делать защищённые резервные копии критически важных компонентов — с обязательной проверкой их восстановления.

SCADA — это не просто система. Это сердце современного производства. А значит, защищать её нужно так же тщательно, как и само предприятие.