Киберпреступники нацелились на энергетические компании в Северной Америке

Специалисты из компании Dragos зафиксировали растущее число киберпреступных группировок, нацеленных на энергетические компании в Северной Америке.

«По мере того, как злоумышленники вкладывают больше усилий и денег на приобретение новых возможностей, риск разрушительного нападения на электроэнергетический сектор значительно возрастает», — сообщается в отчете North American Electric Cyber Threat Perspective.

Эксперты обнаружили в общей сложности 11 группировок, нацеленных на АСУ ТП, семь из которых ранее уже осуществляли атаки на электрические сети в Северной Америке — PARISITE, XENOTIME, MAGNALLIUM, DYMALLOY, RASPITE, ALLANITE и COVELLITE.

Операторы вредоносного ПО Triton/Trisis из группировки XENOTIME в 2017 году напали на нефтехимический завод в Саудовской Аравии, а теперь нацелились на электрические сети в США и ​​Азиатско-Тихоокеанском регионе.

Спонсируемая иранским правительством киберпреступная группировка APT33, также известная как Elfin, MAGNALLIUM или Refined Kitten также переключилась на электроэнергетический сектор в США осенью 2019 года.

Специалисты также рассказали в отчете о группировке PARISITE, связанной с MAGNALLIUM, которая ориентирована на коммунальные, аэрокосмические и нефтегазовые компании в Северной Америке, Европе и на Ближнем Востоке. Злоумышленники используют инструменты с открытым исходным кодом для компрометации инфраструктуры цели и эксплуатируют уязвимости в VPN для получения доступа к сетям жертв.

Другая обнаруженная группировка — WASSONITE предположительно связанна с COVELLITE. Вредоносные программы и инфраструктура COVELLITE аналогичны тем, что применяет предположительно спонсируемая государством Северной Кореи Lazarus Group.

WASSONITE существует примерно с 2018 года и нацелена на электроэнергетический и атомный секторы, производственные и исследовательские предприятия в Индии, а также, вероятно, в Южной Корее и Японии. Преступники использовали известный «шпионский инструмент» DTrack для сбора учетных данных.

Как отметили эксперты, только группировки XENOTIME и ELECTRUM обладают возможностями и инструментами, необходимыми для атак на АСУ ТП. ELECTRUM — группировка, стоящая за атакой в 2016 году на энергосистему Украины, в ходе которой применялось вредоносное ПО CrashOverRide

В отчете описаны шесть возможных сценариев атак на сектор электроэнергетики Северной Америки, в том числе разрушительные события, приводящие к перебоям в электроснабжении, атаки через сторонних производителей и производителей оригинального оборудования, на объекты в цепочке поставок электроэнергии, а также через сотовую связь или спутниковые соединения.