Все фреймворки для APT-атак на изолированные сети АСУ ТП используют USB

Татьяна Никитина 03 Декабря 2021 - 16:20

Корпорации

Государство

Eset

Защита критически важных объектов

Целевые атаки

Таргетированные атаки

Атаки на АСУ ТП

...

Все фреймворки для APT-атак на изолированные сети АСУ ТП используют USB

Эксперты ESET изучили 17 наборов вредоносных компонентов, которые APT-группы применяли для атак на физически изолированные системы SCADA и АСУ ТП. Как оказалось, все эти фреймворки заточены под Windows, а для вывода данных из закрытой сети используют USB-накопители.

Изоляция SCADA, АСУ ТП или ОТ-инфраструктуры от корпоративной среды и интернета — традиционная мера защиты объектов КИИ от киберугроз. Однако «воздушная прослойка» никогда не обеспечивала полной безопасности, хотя и усложняла взлом критически важных систем.

Связь с изолированной сетью обычно осуществляется с помощью физического устройства — USB-флешки или внешнего жесткого диска. Как оказалось, авторы шпионских атак на КИИ на протяжении15 лет использовали именно этот вектор для проникновения в интересующие их закрытые системы.

Проведенное в ESET исследование показало, что не менее 75% фреймворков для атак на изолированные сети полагаются на вредоносный файл LNK (вспомним Stuxnet) либо AutoRun, записанный на флешку. Зловред при этом может использоваться не только для компрометации целевой системы, но и для дальнейшего продвижения по закрытой сети.

Основным отличительным признаком инструментов атаки, изученных в ESET, является способ заражения USB-накопителя, поэтому эксперты условно разделили фреймворки на две группы — работающие в системе, обеспечивающей связь с изолированной сетью, и работающие офлайн. Первые после установки развертывают вредоносный компонент, который отслеживает подключение флешки и автоматом внедряет в нее код для взлома системы, отделенной «воздушным зазором».

Офлайн-фреймворки (Brutal Kangaroo, USBThief, ProjectSauron) предполагают использование заранее подготовленной флешки, способной обеспечить автору атаки бэкдор.

Большинство изученных инструментов обеспечивает атакующему одностороннюю связь с целевой системой — для вывода данных. Наиболее продвинутые фреймворки могут поддерживать и обратную связь (на рисунках показано желтыми стрелками).

Некоторые фреймворки, рассмотренные в ESET (полный список см. в полнотекстовом PDF-отчете):

Retro (APT-группа DarkHotel, она же APT-C-06 и Dubnium)
Ramsay (DarkHotel)
USBStealer (APT28, она же Sednit, Sofacy и Fancy Bear)
USBFerry (Tropic Trooper, она же APT23 и Pirate Panda)
Fanny (Equation Group)
USBCulprit (Goblin Panda, она же Hellsing и Cycldek)
PlugX (Mustang Panda)
Agent.BTZ (Turla Group)

По данным «Лаборатории Касперского», в настоящее время вредоносные USB-устройства — вторая по значимости киберугроза для АСУ ТП (после атак из интернета). Эксперты также отметили растущий интерес APT-групп к таким объектам: раньше они ежегодно фиксировали в этой сфере единичные целевые атаки, теперь счет идет на десятки.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 04 Июля 2025 - 16:24

Solar NGFW Малый и средний бизнес Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) ГК «Солар»

ГК «Солар» выпустила NGFW для ретейла, МСБ и филиалов корпораций

ГК «Солар» представила новую линейку межсетевых экранов Solar NGFW — решения с меньшей производительностью, рассчитанные на защиту филиалов, удалённых офисов и небольших сетей. Новинки — это ПАКи Solar NGFW S (до 10 Гбит/с) и Solar NGFW М (до 20 Гбит/с) — подойдут как для малого и среднего бизнеса, так и для крупных компаний с распределённой инфраструктурой.

По данным самой компании, 56% российских организаций используют NGFW для защиты периметра, а 72% из них — это региональные заказчики и филиалы с типичной нагрузкой до 6 Гбит/с.

При этом стандартные решения с высокой производительностью (например, на 100 Гбит/с) для таких сценариев часто оказываются избыточными. Новые модели как раз закрывают этот сегмент.

По задумке, компактные NGFW от «Солара» могут применяться в разных отраслях. Например:

телеком-операторы — для защиты границ сетей в каждом филиале;
ретейл — для касс самообслуживания и других точек взаимодействия с клиентами;
добывающие и нефтегазовые компании — для защиты сетей на скважинах, станциях и перерабатывающих объектах.

Решения обеспечивают базовую фильтрацию трафика, контроль доступа, мониторинг, обнаружение угроз и защиту от атак. При этом важна не только производительность, но и устойчивость к сбоям и отказам.

Отдельно в компании подчёркивают рост атак в 2024 году: по данным Solar JSOC, доля сетевых атак удвоилась — с 14% до 27% от всех подтверждённых инцидентов. Это тоже подтолкнуло разработку решений для распределённых систем с невысокой нагрузкой.

Новые NGFW продолжают линейку продуктов, которую «Солар» активно обновляет: в 2025 году уже вышли версии 1.5 и 1.6. Среди ключевых изменений — централизованное управление, интеграции через API, автоматическое обновление сигнатур и более 26 тысяч встроенных сигнатур (2000 от центра Solar 4RAYS и ещё 24 тыс. — из международной базы).

Весь стек Solar NGFW представлен как в виде виртуального решения, так и в виде ПАКов (всего 5 моделей), имеет сертификацию ФСТЭК по 4-му уровню доверия и включён в реестр отечественного ПО. Сейчас с NGFW от «Солара» работают более 100 крупных компаний, включая представителей госсектора, телекомов, нефтегаза, энергетики и промышленности.

По оценкам компании «Б1», рынок сетевой безопасности в России уже составляет около 88 млрд рублей — это 42% всего рынка ИБ-продуктов. До 2030 года ожидается рост этого направления на 15% в год, в том числе за счёт постепенного ухода от иностранных NGFW в пользу отечественных решений.

Все фреймворки для APT-атак на изолированные сети АСУ ТП используют USB

Читайте также