Отравляющий киберпар: Hexane ломают нефтегазовый сектор Ближнего Востока

Опубликовано at 16:25
44 0

Исследователи безопасности из компании Dragos идентифицировали новую киберпреступную группировку, получившую название Hexane. Ее вредоносная деятельность направлена на системы промышленного контроля предприятий в нефтегазовом и телекоммуникационном секторах на Ближнем востоке.

Преступники действуют профессионально и жестко, обходят защиту объектов через доверенных поставщиков, компрометируя устройства и программное обеспечение, используемые целевыми объектами в рамках АСУ ТП.

Активность Hexane прослеживается до середины 2018 года, в первой половине 2019 года группировка сконцентрировала атаки на нефтяных и газовых компаниях на Ближнем Востоке, в основном в Кувейте. Преступники также совершили несколько атак на телекомпровайдеров в странах Ближнего Востока, Центральной Азии и Африки.

Hexane, Гекса́н (н-гекса́н) — насыщенный углеводород C6H14, относящийся к классу алканов. В больших количествах входит в состав бензина. Пары гексана обладают сильным наркотическим действием.

Как утверждают эксперты, преступная деятельность Hexane демонстрирует сходство с атаками группировок Magnallium (APT33) и Chrysene, поскольку все они нацелены на нефтегазовые объекты и используют подобные методы. Chrysene сосредоточена на компаниях и организациях в Северной Америке, Европе, Израиле и Ираке, и использует сложное вредоносное ПО не только для атак, но и для шпионажа. В июне нынешнего года хакерская группировка Xenotime расширила свой список целей, включив в него энергетические предприятия в США и странах Азиатско-Тихоокеанского региона. В прошлом году команда специалистов из Dragos включила вышеуказанные группы в список группировок, представляющих наибольшую опасность для АСУ ТП.

Национальная принадлежность преступников пока не известна.

Эксперты АКБ хотят подчеркнуть, что в случае с атаками на ближневосточные производства, причины во многом заключаются еще и в подходе к кибербезопасности. Ранее в этом году расследование инцидента с двумя кибератаками на нефтехимический завод в Саудовской Аравии привело к неожиданным результатам: вторую атаку можно было бы легко предотвратить, если бы на месте был компетентный КБ-специалист.

В докладе, представленном на конференции S4 Conference 2019, говорится, что инженеры и специалисты по безопасности нефтехимического завода в Саудовской Аравии могли предотвратить повторную атаку вредоносного ПО Trisis (известного также как Triton) в августе 2017 года, но не сделали этого.

Первая атака на принадлежащий компании Tasnee нефтехимический завод в Саудовской Аравии была осуществлена в июне 2017 года. После этого инцидента проведен лишь инженерный и технический анализ, однако анализ с точки зрения кибербезопасности не проводился. Случившееся рассматривалось руководством как технический сбой в работе, а не как кибератака, и после устранения неполадок, все операции были восстановлены.

В результате такой халатности злоумышленники через ту же дыру снова атаковали завод спустя два месяца, и на этот раз атака затронула не один, а сразу шесть контроллеров. В результате каждой атаки завод прекращал работу на неделю, что привело к серьезным финансовым потерям.

Ранее АКБ сообщало о том, как масштабная кибератака вывела из строя сервера итальянской нефтегазовой компании Saipem, расположенные в Саудовской Аравии, ОАЭ и Кувейте. «Лаборатория Касперского», со своей стороны, зарегистрировала в 2018 году поворот тренда, и место банков, как самых популярных целей хакеров, сменяют компьютеры промышленных компаний. По данным специалистов, в 2018 году кибернападениям в России подверглись 48% компьютеров индустриальных предприятий. Речь идет о компьютерах автоматизированных систем управления технологическим процессом (АСУ ТП).

Читайте также на АКБ другие новости про хакеров и заводы:

Хакеры вырубили еще один завод – теперь японский

Ястребиная ярость кейлоггера стопорит заводы и фирмы по всей планете

Отключенные системы экстренного оповещения и вставшие заводы: как хакеры изменяют реальный мир

Убытки Norsk Hydro от кибератаки составили $41 млн

Кто ты, LockerGoga, гроза заводов? Вайпер, троян, вымогатель?

Подписываемся, следим @CyberAgency

Related Post

Не дай себя взломать: ЦБ защищается от хакеров

Опубликовано - 17.01.2018 0
Центробанк озаботился компьютерной безопасностью. На Гайдаровском форуме первый заместитель председателя Центрального банка РФ Ольга Скоробогатова высказалась, что обеспечение кибербезопасности теперь…

ФБР вычисляет виртуальных педофилов с помощью торрент-клиентов

Опубликовано - 20.04.2017 0
Федеральное бюро расследований США использует модифицированные торрент-клиенты, чтобы идентифицировать пользователей, загружающих и распространяющих детскую порнографию. Об этом сообщил вчера портал…