ФБР предупредило о росте количества атак на цепочки поставок

ФБР предупредило компании частного сектора об активной хакерской кампании, ориентированной на поставщиков ПО. Злоумышленники стремятся скомпрометировать цепочку поставок, заразив разработчиков трояном Kwampirs.

«Мы считаем, что компании-поставщики ПО являются мишенью для атак с целью получения доступа к их стратегическим партнерам и клиентам, включая организации, поддерживающие системы АСУ ТП для глобального производства, передачи и распределения энергии», — говорится в уведомлении ФБР, разосланном на прошлой неделе.

Также ФБР сообщает, что та же малварь использовалась для атак на компании в секторах здравоохранения, энергетики и финансов. Названия пострадавших компаний не раскрываются.

Малварь Kwampirs впервые описана в отчете компании Symantec, опубликованном в апреле 2018 года. Тогда эксперты писали, что хак-группа Orangeworm использовала Kwampirs для атак на цепочки поставок, и целями группировки в основном были компании, которые поставляли программное обеспечение для сектора здравоохранения.

По данным исследователей, группировка Orangeworm активна как минимум с 2015 года . Глядя на перечень пострадавших, исследователи пришли к выводу, что медицинская отрасль – главная цель преступников, и многие логистические предприятия и ИТ-компании тоже были скомпрометированы в рамках масштабной атаки на цепочку поставок. Так, эти фирмы тоже занимались разработками и поставками решений для сферы здравоохранения. Эксперты полагали, что итоговой целью злоумышленников могло быть хищение патентов медицинских организаций и их последующая перепродажа на черном рынке.

Отчет компании Lab52, выпущенный годом позже, в апреле 2019 года, полностью подтвердил выводы Symantec.

Однако предупреждение ФБР, гласит, что атаки с применением малвари Kwampirs эволюционируют, и теперь скорее ориентированы на компании, занимающиеся АСУ ТП, а особенно на энергетический сектор. И если ранее исследователи не связывали Orangeworm с какой-либо конкретной страной, то ФБР утверждает, что новые данные и изучение исходных кодов Kwampirs позволяют предположить, что троян весьма похож на печально известный вайпер Shamoon, разработанный иранской хак-группой APT33.

«Хотя Kwampirs RAT не имел компонента-вайпера, сравнительный криминалистический анализ показал, что Kwampirs RAT во многом похож на вредоносную программу Disttrack для уничтожения данных (обычно известную как Shamoon)», — пишет ФБР.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • Единственное, что действительно не удивило в этой новости - это то, что ФБР подозревает Иран...