Специалисты компании Dragos обнаружили неизвестную ранее кибергруппировку и назвали ее Hexane. Злоумышленники атакуют предприятия нефтегазовой отрасли на Ближнем Востоке, в основном в Кувейте. В качестве шлюза для проникновения в их сети участники Hexane используют местных, центральноазиатских и африканских телекоммуникационных провайдеров.

Эксперты отметили, что группировка появилась как минимум в середине 2018 года, однако за последние несколько месяцев она заметно активизировалась — вероятно, в связи с возросшим напряжением на Ближнем Востоке.

Для первоначального вторжения преступники используют вредоносные документы. Предполагается, что в дальнейшем скомпрометированные телекоммуникационные компании станут площадками для атак типа человек посередине. Такой вывод специалисты делают на основе деятельности других группировок.

«Заразив устройства, их программную прошивку или сети связи, которыми пользуются жертвы, преступники потенциально смогут развернуть вредоносную деятельность в рабочей среде своей цели. При этом проникнут в нее они через доверенного поставщика, минуя большую часть проверок системы безопасности», — пояснили исследователи.

Особенности группировки Hexane

На текущий момент эксперты полагают, что участники Hexane пока не способны вызвать сбои в работе сетей, контролирующих производственный процесс. Однако выбор инструментов, методология и потенциальные жертвы выделяют эту группировку на фоне остальных.

«В качестве целей злоумышленники выбирают в основном критически важную инфраструктуру, но внимание делят поровну между системами промышленного контроля и телекоммуникационными операциями», — отметили исследователи.

Непохожесть на другие группировки — и обусловленную этим независимость Hexane — подтверждают также особенности создания вредоносных доменов и способы, которыми преступники избегают обнаружения.

Ближневосточный регион уже притягивал внимание злоумышленников — в 2017 году группировка Xenotime, ответственная за фреймворк Triton (известный также как HatMan и Trisis), провела атаку на нефтегазовый завод в Саудовской Аравии. Год назад эксперты установили, что ее участники расширили сферу интересов на промышленные предприятия по всему миру.

Категории: Хакеры