Бесплатно Экспресс-аудит сайта:

22.11.2019

Иранская группировка APT33 нацелилась на системы промышленного контроля

Иранские киберпреступники за последнее десятилетие совершили одни из самых разрушительных кибератак, уничтожив целые компьютерные сети по всему Ближнему Востоку и в США. Однако теперь одна из наиболее активных киберпреступных группировок в Иране, похоже, сменила свои цели и вместо стандартных IT-сетей нацелилась на физические системы управления, используемые в электроэнергетике, на производстве и на нефтеперерабатывающих заводах.

На конференции CyberwarCon в Арлингтоне, штат Вирджиния (США), исследователь безопасности Microsoft Нед Моран (Ned Moran) рассказал об изменении поведения киберпреступной группировки APT33, также известной под названиями Holmium, Refined Kitten или Elfin. В течение прошлого года киберпреступники в ходе атак использовали метод password spraying (обнаружение и использование ненадежных паролей). Но за последние два месяца APT33 значительно сократила количество атакуемых организаций до 2000 в месяц, увеличив при этом почти в десять раз число атакуемых учетных записей в каждой из них.

Как сообщают исследователи, из 25 атакованных компаний около половины являются ведущими производителями и поставщиками оборудования для систем управления производством. С середины октября нынешнего года APT33 нацелила свои атаки на десятки компаний-производителей промышленного оборудования и программного обеспечения.

Мотивация преступников пока что остается неясной. По словам исследователей, группировка готовится к проведению атак с разрушительными последствиями для критической инфраструктуры, сообщает издание Wired.

«Они преследуют этих производителей систем управления, но я не думаю, что они являются конечными целями. Преступники пытаются найти «нижестоящего» клиента, узнать, как они работают и кто их использует. Они пытаются причинить ущерб конкретной критической инфраструктуре, которая использует данные системы управления», — пояснил исследователь.

Распыление паролей (Password Spraying) – попытка взлома учетной записи, когда к одному распространенному паролю привязывается множество имен пользователей.