Привет устаревшим операционкам и кибернеграмотным специалистам на производствах! Эксперты из IBM X-Force рапортуют о вредоносных спам-кампаниях, в рамках которых преступники рассылают кейлоггер HawkEye на адреса сотрудников промышленных предприятий по всему миру. Масштабная волна кибератак длится еще с начала весны.
По данным специалистов, наибольшее распространение HawkEye имеет среди работников компаний, занимающихся логистикой, здравоохранением, маркетингом и сельским хозяйством. Предполагается, что преступников интересуют конфиденциальные и учетные данные, которые они затем используют для кражи аккаунтов и атак на корпоративную электронную почту.
Особенности текущей кампании HawkEye: распространяются версии вредоноса 8.0 и 9.0 в письмах якобы от лица банков и других легитимных организаций (при этом явно сделанные на скорую руку), во вложении к письмам содержался архив с вредоносным файлом, сначала преобразованным из формата PDF в PNG, а затем в LNK. При распаковке он скрытно запускал кейлоггер а, чтобы отвлечь внимание пользователя, ему отображался поддельный счет-фактуру.
Для заражения устройства использовались несколько исполняемых файлов. Первый из них, mshta.exe, задействовал PowerShell-скрипт для подключения к размещенному на AWS C&C-серверу злоумышленников и загружал дополнительные фрагменты программы. Другой — gvg.exe — содержал AutoIt-сценарий, обеспечивающий автоматический запуск кейлоггера после перезагрузки системы.
По данным экспертов, в декабре 2018 года программа HawkEye перешла другому хозяину и теперь распространяется на форумах в даркнете через посредников и вообще обрела второе дыхание.
Читайте также на АКБ о других недавних случаях, когда хакеры наносили серьезный ущерб реальному миру, блокируя производственные системы:
…Около двух недель назад неизвестные злоумышленники запустили в городскую сеть Балтимора, штат Мэриленд, вирус RobinHood, который заблокировал тысячи компьютеров различных административных структур . В результате атаки власти лишились возможности составлять счета и принимать оплату за пользование коммунальными услугами, выписывать штрафы за неправильную парковку и выполнять целый ряд других функций…По словам Янга, на полное восстановление городской компьютерной системы могут уйти месяцы. По состоянию на 24 мая, около 10 тысяч компьютеров в офисах городских служб остаются блокированы.
…Сразу два тревожных события произошли в мире, которые демонстрируют, на что способны хакеры в реальном мире городов, где мы живем, а не где-то там на виртуальных криптопросторах . Первый случай: хакер взломал систему оповещения о торнадо в двух городах в Техасе. За день до предполагаемого торнадо. Властям пригородов Далласа пришлось отключить 30 сирен, внезапно включившихся посреди ночи. Второй случай: один из крупнейших мировых производителей алюминия, компания Norsk Hydro, подверглась хакерской атаке, которая повлекла за собой сбой в работе производственных объектов. Из-за кибератаки часть рабочих процессов на производстве переведены в ручной режим, некоторые другие процессы – приостановлены.
…Исследователи кибербезопасности из Trend Micro опубликовали отчет, из которого следует, что промышленные предприятия чаще по сравнению с другими сферами используют устаревшее оборудование и операционные системы . Хотя с целью повышения эффективности производства промышленные предприятия все чаще полагаются на сочетание цифровых и физических систем, на самом деле повсеместное применение различных технологий и концепций, включая IoT, машинное обучение и big data, значительно УВЕЛИЧИВАЮТ поверхность атак, особенно в сочетании с устаревшим оборудованием или программным обеспечением.
…Расследование инцидента с двумя кибератаками на нефтехимический завод в Саудовской Аравии привело к неожиданным результатам: вторую атаку можно было бы легко предотвратить, если бы на месте был компетентный специалист по кибербезопасности . В докладе, представленном на конференции S4 Conference 2019, говорится, что инженеры и специалисты по безопасности нефтехимического завода в Саудовской Аравии могли предотвратить повторную атаку вредоносного ПО Trisis (известного также как Triton) в августе 2017 года, но не сделали этого.
Первая атака на принадлежащий компании Tasnee нефтехимический завод в Саудовской Аравии была осуществлена в июне 2017 года. После этого инцидента проведен лишь инженерный и технический анализ, однако анализ с точки зрения кибербезопасности не проводился. Случившееся рассматривалось руководством как технический сбой в работе, а не как кибератака, и после устранения неполадок, все операции были восстановлены.
…Еще один день и еще один завод, рухнувший под натиском киберпреступников. В этот раз атакующие заразили порядка сотни компьютеров на заводе японского производителя оптического оборудования HOYA вредоносным ПО, предназначенным для хищения учетных данных и внедрения майнера криптовалюты . HOYA были вынужден на три дня приостановить работу своего завода в Таиланде из-за кибератаки. Специалисты особо отмечают, что кибератака затронула не только серверы в Таиланде, но и подключенные к сети компьютеры в штаб-квартире HOYA в Японии, в результате чего сотрудники компании не смогли выписывать счета-фактуры.
