Արդյունաբերական ձեռնարկությունների վրա թիրախային կիբեռգրոհների շարքում կիրառվել է ավելի քան 15 վնասաբեր իմպլանտ
«Կասպերսկի» ընկերությունն ավարտել է Արևելյան Եվրոպայում արդյունաբերական ձեռնարկությունների վրա կիբեռգրոհների շարքի հետաքննությունը: Չարագործներն օգտագործել են առաջ անցած մարտավարություններ, մեթոդներ և ընթացակարգեր (TTPs)՝ արտադրական, ինչպես նաև ինժինիրինգով և կառավարման ավտոմատացված համակարգերի (ԿԱՀ) ինտեգրմամբ զբաղվող ձեռնարկությունները կոտրելու համար:
«Կասպերսկի»-ի մասնագետները պարզել են, որ թիրախային գրոհների այս շարքն ուղղված է եղել այդ թվում արտաքին աշխարհից մեկուսացված համակարգերից տվյալների գողության մշտական գծի ստեղծմանը: Մի շարք հատկանիշներով այս վնասաբեր արշավը նման է նախկինում հետազոտված ExCone և DexCone գրոհներին, որոնք ենթադրաբար կապված են APT31 խմբի հետ, որը հայտնի է նաև որպես Judgment Panda և Zirconium: Հետաքննությունը ցույց է տվել, որ զոհերի համակարգերին հեռավար հասանելիություն ստանալու, տվյալներ հավաքելու և գողանալու համար օգտագործվել է ավելի քան 15 տարբեր իմպլանտ: Դրանք թույլ են տվել ստեղծել բազմաթիվ մշտապես գործող գծեր՝ գողացված տեղեկատվությունը դուրս բերելու համար, այդ թվում ՝ շատ պաշտպանված համակարգերից։ Չարագործները դրսևորել են անվտանգության միջոցները շրջանցելու մեծ գիտելիքներ և փորձ։
Չարագործներն ակտիվորեն օգտագործել են DLL փոխելու տեխնիկան՝ աշխատանքի ընթացքում իմպլանտների հայտնաբերումից խուսափելու համար։ DLL փոխելը ենթադրում է կողմնակի մշակողների խոցելիություններ ունեցող լեգիտիմ գործարկվող ֆայլերի օգտագործումը, որոնք թույլ են տալիս դրանց հիշողության մեջ բեռնել վնասաբեր դինամիկ շտեմարան:
Տվյալների արտազտման և վնասաբեր ԾԱ-ն տեղ հասցնելու համար օգտագործվել են տեղեկատվության պահպանման ամպային ծառայություններ և ֆայլերի փոխանակման հարթակներ: Չարագործները կոտրած համակարգերի կառավարման և վերահսկման ենթակառուցվածքը (C 2) ծավալել են ամպային հարթակում և մասնավոր վիրտուալ սերվերներում։
Գրոհներում օգտագործվել են նաև FourteenHi վնասաբեր ԾԱ-ի նոր տարբերակներ։ Այն առաջին անգամ հայտնաբերվել է 2021 թվականին ExCone արշավի ժամանակ, որն ուղղված էր պետական հաստատություններին։ Մեկ տարի անց հայտնվեցին այս ընտանիքի ծրագրերի նոր տարբերակներ։ Դրանք օգտագործվում էին արդյունաբերական կազմակերպությունների վրա գրոհներում։
Բացի այդ, հետաքննության ընթացքում հայտնաբերվել է նոր իմպլանտ, որն ստացել է MeatBall անվանումը։ Այն տրամադրում էր հեռավար հասանելիության լայն հնարավորություններ։
Մյուս տարբերակիչ առանձնահատկությունն այն է, որ գրոհողները պատճենել են տվյալները մեկուսացված համակարգչային ցանցերից՝ շարժական կրիչների հաջորդական վարակման միջոցով: Դա նոր մարտավարություն չէ, սակայն տվյալ դեպքում դրա իրականացումը, մասնագետների կարծիքով, ինքնատիպ և արդյունավետ է եղել։
«Չի կարելի թերագնահատել արդյունաբերական հատվածի վրա թիրախային գրոհների հետևանքների լրջությունը։ Քանի որ շատ կազմակերպություններ սկսում կամ շարունակում են ակտիվ թվայնացումը, արժե հաշվի առնել նաև կրիտիկական կարևոր համակարգերի վրա գրոհների համամասնորեն աճող ռիսկերը: Այն փաստը, որ գրոհողները գտնում են արդյունաբերական ձեռնարկությունների առավել պաշտպանված համակարգերին հասնելու ուղիներ, խոսում է այն մասին, թե որքան կարևոր է հետևել կիբեռանվտանգության ապահովման լավագույն գործելակերպերին, ներառյալ՝ աշխատակիցների ուսուցումը, արդիական սպառնալիքների վերաբերյալ տեղեկատվության ստացումը, վերլուծությունը և ճիշտ օգտագործումը, արդյունաբերական ենթակառուցվածքների պաշտպանության համար մասնագիտացված լուծումների ներդրումը»,- մեկնաբանում է Kaspersky ICS CERT-ի ավագ մշակող-հետազոտող Կիրիլ Կրուգլովը: