#Nuclear #Kudankulam #APT #Declassified
Group-IB связала остановку энергоблока АЭС «Куданкулам» в 2019 году с успешной атакой на корпорацию NPCIL
🎯Атомная энергетика — трудная, но очень привлекательная мишень для спецслужб и киберкриминала. За последние пару лет интерес к ней проявили
9 групп, связанных с разными государствами, семь хакеров, продающих доступ в энергетические сети, также известно об 11 случаях успешных атак программ-шифровальщиков. За это время объектами нападений были не только структуры ядерной энергетики
Ирана, но и
Индии, которая активно развивает ядерные технологии и реакторы на основе тория. Давайте подсветим историю, которая долгое время хранилась у нас в папке под грифом Classified, и стала, наконец,
публичной благодаря свежему отчету
Hi-Tech Crime Trends 2020/2021 (скачать отчет все еще можно
тут!).
⚔️В сентябре 2019 года специалисты Group-IB обнаружили архив, содержащий
Dtrack — инструмент удаленного администрирования, который атрибутируется к северокорейским хакерам из
Lazarus. Логи содержали данные со скомпрометированного компьютера сотрудника индийской корпорации
Nuclear Power Corporation of India Limited (NPCIL). Все файлы в архиве были скомпилированы в разное время, однако основной файл был датирован 30 января 2019 года, то есть более чем за пол-года до обнаружения. Похоже, хакеры довольно долго оставались незамеченными в сети.
🧨Вскоре стало известно, что в результате атаки была скомпрометирована
АЭС «Куданкулам» — атомная электростанция в Индии, расположенная на юге индийского штата Тамилнад. 19 октября 2019 года второй энергоблок АЭС был отключен. Аналитики Threat Intelligence & Attribution Group-IB предположили, что эти два события — успешная атака на NPCIL и ЧП на «Куданкулам» могут быть связаны. По официальным заявлениям, причина остановки энергоблока —
SG level low, то есть давление в парогенераторе, который отвечает за передачу тепла от активной зоны до турбины электрогенератора, было низким. Это могло привести к перегреву активной зоны.
👳🏼После того как исследователь
Пухрадж Сингх опубликовал сообщение об атаке в Twitter, администрация АЭС все отрицала. Однако позже индийская корпорация NPCIL признала, что кибератака все же была: троян проник в административную сеть АЭС, заразив один компьютер, но не достиг критически важной внутренней сети, которая используется для управления ядерными реакторами.
🏭Самое интересное, что даже изолированные сети не являются панацей — арсенал атакующих пополняется инструментами, использующих USB-носители для преодоления так называемого «воздушного зазора» (air gap). В связи с этим, кроме очевидных рекомендаций сотрудникам не пользоваться непроверенными или сомнительными USB-устройствами и не открывать подозрительные письма и вложения, представителям энергетического сектора мы можем рекомендовать:
📌Уметь выявлять признаки изначального доступа атакующих, их закрепления в системе, продвижения по сети. Для более сложных атак может помочь регулярная проактивная охота за угрозами —
Threat Hunting;
📌 Детектировать и регулярно дополнительно проверять свою инфраструктуру на known-bad индикаторы компрометации.
📌Убедиться, что ваши существующие средства защиты могут обнаруживать аномальную активность в контексте использования легитимного программного обеспечения, установленного в организации. Например, запуск нетипичных процессов, создание файлов, модификации файловой системы или реестра, характерные для техник закрепления в системе, и т.п.
📌Поскольку стандартные средства защиты далеко не всегда способны справиться с вышеперечисленными задачами, стоит обратить внимание на
Group-IB Threat Hunting Framework и
Group-IB Threat Intelligence & Attribution — два
новых класса решений для исследования киберугроз и охоты за атакующими.💪
