В ходе длительного расследования эксперты выявили цепочку заражения, продвинутые тактики злоумышленников и новые возможности вредоносного ПО
Исследователи «Лаборатории Касперского» обнаружили масштабную вредоносную кампанию с применением продвинутых тактик и инструментов для шпионажа и кражи данных. Злоумышленники использовали модуль для проникновения в изолированные сети с помощью USB-накопителей, а также бэкдор Linux MATA. В ходе многоступенчатой кибератаки были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы.
Точка невозврата. В сентябре 2022 года в рамках исследования инцидента эксперты «Лаборатории Касперского» обнаружили новые образцы вредоносного ПО семейства MATA, которые ранее связывали с группой Lazarus. Злоумышленники проникли в сеть одного из предприятий с помощью целевых фишинговых писем, которые начали рассылаться в августе 2022 года. После этого атакующие изучили корпоративную сеть жертвы, похитили аутентификационные данные пользователей и смогли подключиться к терминальному серверу материнской компании. В головной организации злоумышленникам удалось повторить успех и добраться до контроллера домена. Скомпрометировав информационные системы, связывающие материнское предприятие с дочерними — сервер финансовой системы и панель управления защитным решением для проверки требований ИБ — злоумышленники получили доступ к сетям нескольких десятков дочерних организаций.
Атакующие продемонстрировали широкие возможности по обходу и использованию в собственных целях защитных решений, установленных в атакованных средах, пользуясь уязвимостями одного из них, а также небезопасными настройками другого. Кроме того, чтобы скрыть вредоносную активность, они применяли множество техник: использование руткитов и портов, уязвимых драйверов, маскировку файлов под пользовательские приложения, открытых для коммуникации легитимных программ, многоуровневое шифрование файлов и сетевой активности вредоносного ПО. Эти и другие аспекты демонстрируют высокий уровень подготовки атакующих.
Эволюция вредоноса. Для реализации атаки злоумышленники использовали сразу три новых поколения вредоносного ПО MATA. Одна из них является доработанной версией MATA 2-го поколения. Следующая, которой эксперты «Лаборатории Касперского» присвоили имя MataDoor ещё осенью 2022 года, была написана с нуля и может рассматриваться как версия 4-го поколения. Версия 5-го поколения также была создана с нуля. Другой примечательной составляющей этой сложной атаки является то, что целями злоумышленников также стали c ерверы, работающие под управлением UNIX-подобных операционных систем. Захват панели управления защитным решением , в совокупности с применением версии вредоносного ПО MATA для Linux , позволило злоумышленникам получить доступ практически ко всем системам атакованных предприятий, в том числе к тем, которые не входили в домен.
При этом в ситуациях, когда установить прямую коммуникацию с целевой системой не представлялось возможным, атакующие использовали модуль для работы с USB-носителями. Он позволял обмениваться данными с изолированными сетями, которые могут хранить потенциально интересную для злоумышленников информацию.
Кто стоит за атакой. Большая часть вредоносных документов Word содержит корейский шрифт Malgun Gothic ( 맑은 고딕 ). Это указывает на то, что разработчик может владеть корейским языком или использует систему, работающую с корейской локализацией. Этот и много других артефактов, найденных во время расследования, указывают на связь с хорошо известной APT Lazarus. Однако однозначно определить, кто стоит за атакой, невозможно. В новых версиях зловреда MATA были обнаружены технические приёмы, набор которых указывает на другие группировки — из альянса Five Eyes. Однако и те, и другие находки могут быть «ложными флагами» для сокрытия истинного бенефициара атаки.
«Защита промышленного сектора от таргетированных атак требует комплексного подхода, сочетающего надёжные методы обеспечения кибербезопасности с проактивными действиями. Глубокие и систематические исследования „Лаборатории Касперского” тактик и техник, используемых злоумышленниками, позволяют нам следить за постоянно меняющимся ландшафтом киберугроз, а также своевременно обнаруживать новые кампании различных APT -группировок. Постоянно отслеживая новые находки исследователей и внедряя новейшие решения для обеспечения безопасности, предприятия могут выстроить эффективную стратегию защиты», — комментирует Вячеслав Копейцев, эксперт по кибербезопасности Kaspersky ICS CERT.
Подробная информация о ходе расследования кампании доступна на сайте https://ics-cert.kaspersky.ru/publications/reports/2023/10/31/updated-mata-attacks-industrial-companies-in-eastern-europe.
Для защиты от подобных атак, эксперты «Лаборатории Касперского» рекомендуют предприятиям:
- проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
- использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить безопасность всех критически важных промышленных систем;
- обучать сотрудников основам кибергигиены, чтобы снизить риск инцидентов;
- проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
- ограждать от киберугроз ИТ-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.
