Китайская хак-группа APT31 (она же Zirconium или Judgment Panda) атакует промышленные предприятия в Восточной Европе с помощью нового вредоносного ПО, которое способно похищать данные даже из систем изолированных от интернета и корпоративной сети.
По данным «Лаборатории Касперского, хакеры использовали не менее 15 различных имплантатов в своих атаках, каждый из которых применялся для отдельного этапа операции, а также «фирменную» малварь FourteenHi.
Эксперты говорят, что злоумышленники применялти продвинутые тактики, методы и процедуры (TTPs), чтобы скомпрометировать предприятия производственного сектора, а также занимающиеся инжинирингом и интеграцией автоматизированных систем управления (АСУ).
Эта серия целевых атак была направлена на создание постоянного канала для кражи данных, в том числе из изолированных от внешнего мира систем. По ряду признаков эта вредоносная кампания похожа на ранее изученные атаки ExCone и DexCone, которые связывают с группировкой APT31.
Расследование показало, что более 15 различных имплантов позволяли хакерам создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищенных систем.
К примеру, APT31 активно использовала техники DLL-подмены (DLL hijacking), чтобы избегать обнаружения во время работы имплантов. Под этим термином подразумевает использование легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.
Для эксфильтрации данных и доставки малвари использовались облачные сервисы для хранения информации и платформы для обмена файлами. Злоумышленники развертывали инфраструктуру управления и контроля (C2) скомпрометированных систем в облачной платформе и на частных виртуальных серверах.
Также в атаках использовались новые версии вышеупомянутой малвари FourteenHi. Впервые она было обнаружено в 2021 году в ходе кампании ExCone, которая нацеливалась на госучреждения. Годом позже появились новые варианты программ этого семейства. Они использовались в атаках на промышленные организации.
Кроме того, в ходе расследования был обнаружен новый имплант, который получил название MeatBall. Он предоставлял злоумышленникам обширные возможности для удаленного доступа.
Другая отличительная особенность — то, что атакующие копировали данные из изолированных компьютерных сетей через последовательное заражение съемных носителей. Это не новая тактика, однако в данном случае ее реализация оказалась оригинальной и эффективной, по мнению специалистов. Она включала как минимум четыре различных модуля:
- модуль работы со съемными носителями и сбором информации о них;
- модуль заражения съемного носителя;
- модуль сбора и сохранения данных на зараженном носителе;
- модуль заражения и сбора информации с удаленного компьютера.
«Нельзя недооценивать серьезность последствий целевых атак на промышленный сектор. Поскольку многие организации начинают или продолжают активную цифровизацию, стоит учитывать и пропорционально возрастающие риски атак на критически важные системы. Факт, что злоумышленники находят способы добраться до наиболее защищенных систем промышленных предприятий, говорит о том, насколько важно следовать лучшим практикам обеспечения кибербезопасности, включая обучение сотрудников, получение, анализ и правильное использование информации об актуальных угрозах, внедрение специализированных решений для защиты промышленной инфраструктуры», — комментирует Кирилл Круглов, старший разработчик-исследователь в Kaspersky ICS CERT.
