ФБР предупредило компании частного сектора об активной хакерской кампании, ориентированной на поставщиков ПО. Злоумышленники стремятся скомпрометировать цепочку поставок, заразив разработчиков трояном Kwampirs.

«Мы считаем, что компании-поставщики ПО являются мишенью для атак с целью получения доступа к их стратегическим партнерам и клиентам, включая организации, поддерживающие системы АСУ ТП для глобального производства, передачи и распределения энергии», — говорится в уведомлении ФБР, разосланном на прошлой неделе.

Также ФБР сообщает, что та же малварь использовалась для атак на компании в секторах здравоохранения, энергетики и финансов. Названия пострадавших компаний не раскрываются.

Малварь Kwampirs впервые описана в отчете компании Symantec, опубликованном в апреле 2018 года. Тогда эксперты писали, что хак-группа Orangeworm использовала Kwampirs для атак на цепочки поставок, и целями группировки в основном были компании, которые поставляли программное обеспечение для сектора здравоохранения.

По данным исследователей, группировка Orangeworm активна как минимум с 2015 года . Глядя на перечень пострадавших, исследователи пришли к выводу, что медицинская отрасль – главная цель преступников, и многие логистические предприятия и ИТ-компании тоже были скомпрометированы в рамках масштабной атаки на цепочку поставок. Так, эти фирмы тоже занимались разработками и поставками решений для сферы здравоохранения. Эксперты полагали, что итоговой целью злоумышленников могло быть хищение патентов медицинских организаций и их последующая перепродажа на черном рынке.

Отчет компании Lab52, выпущенный годом позже, в апреле 2019 года, полностью подтвердил выводы Symantec.

Однако предупреждение ФБР, гласит, что атаки с применением малвари Kwampirs эволюционируют, и теперь скорее ориентированы на компании, занимающиеся АСУ ТП, а особенно на энергетический сектор. И если ранее исследователи не связывали Orangeworm с какой-либо конкретной страной, то ФБР утверждает, что новые данные и изучение исходных кодов Kwampirs позволяют предположить, что троян весьма похож на печально известный вайпер Shamoon, разработанный иранской хак-группой APT33.

«Хотя Kwampirs RAT не имел компонента-вайпера, сравнительный криминалистический анализ показал, что Kwampirs RAT во многом похож на вредоносную программу Disttrack для уничтожения данных (обычно известную как Shamoon)», — пишет ФБР.

1 комментарий

  1. Аватар

    mitrofanzzz

    12.02.2020 в 11:18

    Единственное, что действительно не удивило в этой новости — это то, что ФБР подозревает Иран…

Оставить мнение