«Лаборатория Касперского» выявила серию сложных целевых кибератак на промышленные предприятия в Восточной Европе. Злоумышленники крадут данные у компаний производственного сектора, а также у организаций, занимающихся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые, предположительно, связаны с группой APT31, также известной как Judgment Panda и Zirconium.

Источник изображения: pixabay.com

Для получения удалённого доступа к системам жертв, сбора и кражи данных применяются более 15 различных имплантов. Это модули для обеспечения бесперебойного удалённого доступа и первоначального сбора информации, инструменты для сбора файлов (в том числе с физически изолированных систем), а также средства выгрузки данных на командные серверы. Имплаты позволяют создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем.

Отмечается, что злоумышленники продемонстрировали обширные знания и опыт в обходе мер безопасности. Они, в частности, активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL-подмена предполагает применение легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации информации и доставки вредоносного ПО использовались облачные сервисы и платформы обмена файлами. Хакеры развёртывали инфраструктуру управления и контроля скомпрометированных систем в облачной среде и на частных виртуальных серверах. В атаках использовались новые версии вредоносного ПО FourteenHi и новый имплант MeatBall, предоставляющий обширные возможности для удалённого доступа.

Отличительная особенность киберпреступной кампании — кража данных из изолированных компьютерных сетей через последовательное заражение съёмных носителей. При этом были задействованы как минимум четыре различных модуля: инструмент для работы со съёмными носителями и сбора информации о них; средства заражения съёмного носителя; компонент сбора и сохранения данных на заражённом носителе; модуль заражения и сбора информации с удалённого компьютера.

«Лаборатория Касперского» выпустила защитное решение Kaspersky Container Security, позволяющее снизить риски, характерные для контейнерных сред, высвободить ресурсы ИБ-специалистов и соответствовать требованиям регуляторов.

Kaspersky Container Security обеспечивает безопасность приложений в Kubernetes, OpenShift и на других контейнерных платформах на всех этапах жизненного цикла ПО — от разработки до эксплуатации. Продукт спроектирован с учётом особенностей контейнерных сред и закрывает свойственные им риски информационной безопасности — от уязвимостей в образе контейнера до анализа настроек узлов кластера.

Архитектура Kaspersky Container Security

Программный комплекс обеспечивает высокий уровень защиты и обладает важными для российского рынка особенностями, такими как анализ по банку данных угроз безопасности информации (БДУ ФСТЭК) и поддержка отечественных операционных систем Astra Linux и «Ред ОС».

Решение будет полезно компаниям, как разрабатывающим, так и эксплуатирующим приложения с использованием контейнеров. Среди них — операторы связи, государственные структуры, розничная торговля, банки и другие финансовые организации, сферы производства, энергетика, добывающий сектор. Продукт будет востребован при разработке и использовании приложений на микросервисной архитектуре, таких как сервисы для размещения заказа или мониторинга состояния оборудования. Кроме того, Kaspersky Container Security помогает реализовать принцип безопасной разработки ПО (DevSecOps).