Мы нашли интересный
обзор от американской инфосек компании
Dragos, которая специализируется на информационной безопасности промышленных объектов, в том числе промышленных систем управления (ICS). Этот обзор, как нетрудно догадаться, посвящен трендам развития киберугроз в области промышленной безопасности.
Мы эту тему любим, вы знаете. Как всегда кратко опишем наиболее заинтересовавшие нас моменты, полностью отчет прикреплен к посту.
Что же говорят нам
Dragos. Во-первых, возрастающая степень цифровой конвергенции различных элементов промышленного производства приводит к тому, что количество киберугроз в этой области постоянно возрастает.
Во-вторых,
Dragos в настоящее время отслеживает пять APT, активно нацеленных на ICS. Три из них -
APT 34 aka
OilRig,
APT 33 aka
Elfin и
Parasite aka
Fox Kitten - работают под контролем иранских спецслужб. Еще одна,
Wassonite, считается группой, ассоциированной с северокорейской
APT Lazarus (но это не точно). И наконец, пятая - это
Temp.Veles, связанная с атакой
Triton (мы про нее писали), за ней, как считают исследователи
FireEye, стоит московский
Центральный научно-исследовательский институт химии и механики.
Оставим на совести ресерчеров
Dragos столь скудный список, в котором нет даже
Unit 8200, ответственного за атаку
Stuxnet (хотя упоминание самой атаки есть). Мы понимаем, что там свои политические моменты, на которые иногда призакрывает глаза, пожалуй, только
Symantec.
Существенная часть отчета
Dragos посвящена возрастающей угрозе ICS со стороны ransomware. Исследователи говорят, что несколько несколько штаммов вымогателей, в частности
EKANS,
Megacortex и
Clop, содержат код, предназначенный для атак на ICS, в том числе для остановки производственных процессов.
При этом нацеленные на ICS ransomware не обязательно связаны с коммерческими группами. Как утверждают
Dragos, в мае этого года тайваньские компании из отрасли нефтегаза и производства полупроводников были атакованы вымогателем, за которым стояла китайская
APT Winnti. Кроме того, в 2019 году норвежская
Norsk Hydro была атакована ransomware
LockerGoga, за которым также может стоять прогосударственная хакерская группа.
Утверждение
Dragos про активизацию ransomware на этом направлении перекликается с
интервью Unknown из группы-владельца вымогателя
REvil, который назвал промышленные компании одними из приоритетных целей.
Дальше
Dragos рассуждают о таком явлении, как атака на IT-составляющие промышленных объектов с целью кражи интеллектуальной собственности, возможные атаки через цепочку поставок, необходимые меры предосторожности и т.д. И это уже неинтересно.
Кстати, отметим тот факт, что упомянутая в отчете группа
Wassonite причастна к заражению в октябре 2019 года сети индийской
АЭС Куданкулам. Мы обязательно рассмотрим этот кейс отдельным постом, разберем, что там случилось, и как
Wassonite связаны с
Lazarus.
