Специалисты компании Cybereason развернули приманку в виде IT-инфраструктуры электроподстанции 17 июня. Киберпреступники взломали ловушку исследователей через два дня, а уже через неделю пытались продать доступ к системе на одном из форумов дарквеба. Исследователи проследили все этапы атаки и пришли к выводу, что критически важные энергетические объекты интересуют не только хакеров на службе у государства, но и обычных мошенников в Интернете.

Приманка была спроектирована так, чтобы выглядеть как типичная энергетическая подстанция, поставляющая электричество крупному провайдеру. IT-инфраструктура была отделена брандмауэром от технологической части, включавшей в себя контроллеры, мониторы и другие элементы управления (АСУ ТП). Система включала в себя SQL-сервер, контроллер домена и хост SharePoint с возможностью удаленного доступа через RDP или SSH.

Киберпреступник установил на скомпрометированный компьютер утилиту удаленного доступа xDedic RDP Patch, которая позволяет атакующему использовать учетные данные жертвы для одновременного доступа к скомпрометированной системе. Как пояснили исследователи, этот инструмент разработан владельцами криминального форума xDedic, специализирующегося на продаже доступа ко взломанным системам.

Помимо этого, мошенник установил на сервер-приманку бэкдор и создал дополнительных пользователей, на случай если администратор решит изменить пароль для входа в систему. Как отметили ИБ-специалисты из Cybereason, это свидетельствовало о том, что киберпреступник готовился продать доступ к скомпрометированной инфраструктуре подстанции.

В течение следующих дней фальшивую подстанцию атаковал ряд ботнетов, пытавшихся установить на сервер программы для генерации криптовалюты, проведения DDoS-кампаний и распространения фишинговых ссылок. Специалисты отмечают, что это обычная вредоносная активность, наблюдаемая на системах, подключенных к Интернету.

Вероятно, вскоре доступ к приманке был продан, поскольку эксперты зафиксировали новую вредоносную активность в IT-системе своей «подстанции». Новый владелец не проявил интереса ни к чему, кроме элементов АСУ ТП, и попытался взять под контроль критически важную инфраструктуру.

Обнаружив, что на его пути стоит файрвол, киберпреступник запустил сканирование сети, чтобы найти точки подключения к технологическому оборудованию. Он проверил контроллер домена, а также серверы SharePoint и SQL в надежде преодолеть контур безопасности и подключиться к технологической среде.

По словам экспертов, мошенник слишком неумело пытался скрыть свое присутствие. Он удалил защитное ПО с первого же скомпрометированного сервера, что в реальных условиях должно было послужить сигналом для сотрудников ИБ-службы подстанции.

Как отмечают исследователи, такое поведение нехарактерно для хакеров, работающих в интересах государственных органов разных стран. Злоумышленники на службе у правительств стараются как можно дольше оставаться незамеченными, а будучи обнаруженными на начальной стадии атаки, просто сворачивают активность.

В случае с подконтрольной аналитикам «подстанцией» киберпреступник не остановился даже тогда, когда специалисты восстановили систему защиты с более строгими параметрами безопасности. Мошеннику снова удалось обойти ее — он отступил лишь на третий раз, когда ИБ-программа была перезапущена с максимальным уровнем противодействия.

Эксперты считают, что киберпреступник пытался взломать подстанцию с целью получения выкупа. Кроме того, целью злоумышленника могло стать приобретение нового опыта или просто повышение своей самооценки.

Согласно исследованию «Лаборатории Касперского» число кибератак на промышленные предприятия неуклонно растет. Если в 2016 году от действий хакеров пострадали 20% производственных компаний, то в 2017-ом количество жертв злоумышленников увеличилось до 28%. При этом почти половина опрошенных руководителей призналась, что не все их сотрудники соблюдают установленную политику безопасности.

Категории: Аналитика, Главное, Кибероборона, Уязвимости, Хакеры