Эксперты «Лаборатории Касперского» обнаружили атаки неидентифицированной китайской хак-группы, нацеленные на телекоммуникационные, производственные и транспортные организации в Пакистане, Афганистане и Малайзии.
В своем отчете исследователи сообщают, что впервые эти атаки были замечены в середине октября 2021 года. Тогда бэкдор ShadowPad был обнаружен на нескольких системах АСУ в Пакистане, том числе инженерных компьютеров в системах управления зданиями, входящих в состав инфраструктуры телекоммуникационной компании. Для получения первоначального доступа в некоторых случаях злоумышленники использовали уязвимость в Microsoft Exchange (CVE-2021-26855).
В ходе изучения этого инцидента была выявлена масштабная активность злоумышленников в сети той же организации, а также обнаружены другие жертвы этой кампании. В частности были обнаружены вредоносные артефакты в организациях, работающих в секторах промышленного производства и телекоммуникаций в Пакистане и Афганистане. Кроме того, атака с применением более раннего, но очень похожего набора тактик, методов и процедур, которая проводилась на логистическую и транспортную организацию (порт) в Малайзии.
В итоге эксперты пришли к выводу, что обнаруженная волна атак началась еще в марте 2021 года.
Во время исследованной серии этих атак внимание экспертов в первую очередь привлекла компрометация рабочих станций инженеров систем автоматизации зданий. И дело не только в том, что такое редко наблюдается в целевых атаках.
Система управления зданием — интересная цель для некоторых злоумышленников, ведь она может включать в себя управление различными функциями жизнеобеспечения, такими как электроснабжение, отопление, освещение, кондиционирование и вентиляция, и часто бывает интегрирована с системами, реализующими функции обеспечения физической безопасности здания, например видеонаблюдения и контроля доступа.
Получив над ней контроль, атакующий может проникнуть и в другие информационные системы, развернутые на объекте, относящиеся как к IT-, так и к OT-сегментам. На практике очень эти системы часто могут не быть изолированы друг от друга в необходимой степени.
Также в ходе исследования были обнаружены дополнительные инструменты и команды, которые использовались злоумышленниками после первоначального заражения.
- С марта по октябрь 2021 года бэкдор ShadowPad загружался на атакуемые компьютеры под видом файла mscoree.dll, запускаемого легитимным приложением AppLaunch.exe.
- Позже для запуска ShadowPad атакующие использовали метод подмены DLL (DLL hijacking) в легитимном средстве просмотра объектов OLE-COM (OleView).
- После первоначального заражения злоумышленники отправляли команды вручную, а затем автоматически.
- В качестве дополнительных инструментов применялись: фреймворк CobaltStrike, который загружался на компьютер жертвы с помощью утилиты certutil.exe, скомпилированных веб-шеллов aspx, инструментов procdump tool и Mimikatz; бэкдор PlugX; BAT-файлы (для кражи учетных данных); веб-шеллы (для удаленного доступа к вебсерверу); утилита Nextnet (для сканирования сетевых хостов).
Несмотря на то, что основной инструмент — бэкдор ShadowPad — весьма часто используется различными китайскими хак-группами, в изученных атаках злоумышленники использовали весьма уникальный набор тактик и техник, который не позволяет с достаточной надежностью отнести их к какой-либо из известных группировок.
Исследователи говорят, что имеются незначительные указания на то, что описанная активность может иметь отношение к китайскоязычной группе HAFNUIM, однако их недостаточно, чтобы уверенно говорить о причастности HAFNUIM к обнаруженной кампании.
«Системы управления зданиями редко становятся мишенями атак APT-групп. Однако они могут быть ценным источником строго конфиденциальной информации, и из них злоумышленники могут проникать и в более тщательно охраняемые области инфраструктуры атакованного объекта. Поскольку такие атаки могут развиваться быстро и в различных направлениях, их нужно детектировать на самых ранних этапах. Наш совет — вести постоянное наблюдение за системами управления зданиями в критических секторах», — комментирует Кирилл Круглов, эксперт команды Kaspersky ICS CERT.
