В 2020 Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» зафиксировал в Казахстане очередную волну рассылок фишинговых писем, содержащих вредоносные вложения. Рассылки нацелены на организации, деятельность которых так или иначе связана с промышленным производством.
С 2018 года и как минимум до осени 2020-го злоумышленники рассылали фишинговые письма, содержащие вредоносное программное обеспечение (ПО). В атаках используются приемы социальной инженерии и легитимные документы, такие как служебные записки и документы с информацией о технологических процессах.
Важно понимать, что в атаках используются легитимные утилиты удаленного администрирования, графический интерфейс которых скрывается вредоносным ПО, что позволяет злоумышленникам скрыто управлять зараженной системой. В новой версии вредоносного ПО злоумышленники изменили канал оповещения о заражениях систем: вместо серверов управления вредоносным ПО используется веб-интерфейс облачной инфраструктуры управления легитимной утилиты удаленного администрирования RMS.
Фишинговые письма, применяемые в такой атаке, чаще всего замаскированы под деловую переписку между организациями. Чтобы ввести в заблуждение получателя письма и склонить его открыть вредоносное вложение, злоумышленники представляются реальным деловым партнером или представителем реально существующей дочерней организации атакуемой компании, прося ознакомиться с представленными документами не позднее обозначенного в письме срока, мотивируя это окончанием конкурса на закупку, наступлением штрафных санкций или необходимостью срочного ознакомления с данными о настройках оборудования.
Также стоит обратить особое внимание на то, что фишинговые письма формируются индивидуально для каждой из атакуемых компаний. Об этом говорят упоминание данной конкретной компании в тексте письма, а также используемые злоумышленниками рабочие документы, связанные со спецификой ее деятельности. Документ может выглядеть как принадлежащий деловому партнеру или даже самой атакуемой организации. В частности, используются скан-копии служебных записок, писем к дочерним и подрядным организациям, а также формы закупочной документации.
С момента заражения злоумышленники имеют возможность полного удаленного контроля над зараженной системой. Когда они подключаются к компьютеру жертвы, то ищут ПО для осуществления финансовых операций и могут подменять реквизиты, по которым производится оплата счетов. Несомненно, наличие у преступников удаленного доступа к зараженным системам влечет и другие угрозы, такие как утечка конфиденциальных данных организации или выведение систем из строя.
Основную часть атакуемых систем составляют промышленные предприятия из следующих индустрий: производство, нефть и газ, металлургия, энергетика, добыча полезных ископаемых. Тот факт, что большинство легитимных документов, использованных в атаках, относятся к энергетике и нефтегазовой сфере, позволяет предположить, что злоумышленники проявляют повышенный интерес к этим отраслям.
Основная цель преступников – кража денежных средств со счетов компаний. Они хорошо ориентируются в организации финансовых процессов, которые имеют в Казахстане специфические особенности, а также поддерживают соответствующую инфраструктуру для вывода денежных средств. Злоумышленники тщательно готовят каждую из атак и умело используют приемы социальной инженерии, а также технические средства.
Автор Евгений Питолин
Источник forbes.kz