Кибератака на КИИ на Ближнем Востоке

Группа FortiGuard Labs по реагированию на кибератаки (FGIR) из Fortinet обнаружила многолетнюю кибератаку на критически важную национальную инфраструктуру на Ближнем Востоке. Конкретные данные ближневосточной организации не раскрываются. Сообщается, что кибератака из разряда APT — постоянная серьезная угроза, вероятно спонсируемая государственными структурами. Проникновение в сеть было осуществлено с использованием украденных учетных данных VPN, в дальнейшем были использованы веб-оболочки и бэкдоры Havoc, HanifNet, HXLibrary и NeoExpressRAT. Злоумышленники преодолели сегментацию сети, используя прокси-инструменты с открытым исходным кодом, такие как plink, Ngrok, Glider Proxy и ReverseSocks5.

Кибератака осуществлялась в несколько приемов, были использованы загрузчики для запуска Havoc и SystemBC непосредственно в памяти, избегая обнаружения на диске.

При кибератаке целенаправленно использовались виртуальные частные серверы, размещенные за пределами США. Киберпреступники имитировали легальные операции Windows, для внедрения в системную среду. Проводилась тщательная разведка инфраструктуры виртуализации, для того, чтобы составить карту сетевых конфигураций и идентифицировать ключевые активы. Когда подвергнувшаяся кибератаке организация попыталась локализовать вредоносное воздействие, киберпреступники попытались восстановить доступ, используя уязвимости в программном обеспечении ZKTeco ZKBioTime. Кроме этого были организованы целенаправленные фишинговые кампании для получения учетных данных.

Сбоев в работе систем АСУ ТП обнаружено не было, вместе с тем был отмечен интерес киберпреступников к сегменту операционных технологий организации.

Источник: Fortinet