Новый вредоносный программный код угрожает критическим инженерным процессам в системах промышленного управления

Исследования Forescout выявили растущую угрозу, нацеленную на инженерные рабочие станции в оперативных технологиях (OT) и системах промышленного управления (ICS).

Анализ, опубликованный во вторник, подчеркивает, как вредоносное ПО, нацеленное на эти рабочие станции, становится все более распространенным.

Исследование было сосредоточено на вредоносном ПО, найденном в VirusTotal, включая инциденты с инженерной рабочей станцией Mitsubishi, зараженной червем Ramnit, а также новым экспериментальным вредоносным ПО, известным как Chaya_003, которое нарушает инженерные процессы Siemens.

Вредоносное ПО, специфическое для OT, хотя и менее распространено, чем атаки на корпоративное программное обеспечение или мобильные операционные системы, является значительной проблемой для операторов безопасности в промышленной среде.

Инженерные рабочие станции, играющие центральную роль в контроле и мониторинге критической инфраструктуры, являются главными целями для такого рода атак. В отчете Института SANS говорится, что компрометация инженерных рабочих станций является ведущим вектором атаки, ответственным за более 20% инцидентов в системах оперативно-технологического управления (OT).

Анализ, проведенный Forescout, был сосредоточен на вредоносном ПО, нацеленном на инженерные рабочие станции, которые работают как на традиционных операционных системах, таких как Windows, так и на специализированном инженерном программном обеспечении, например, Siemens TIA Portal и Mitsubishi GX Works.

Исследование обнаружило две основные группы вредоносного ПО, нацеленные на эти рабочие станции. В одном случае исполняемые файлы Mitsubishi GX Works были заражены червем Ramnit в двух разных инцидентах. Второй касается трех образцов нового варианта вредоносного ПО, Chaya_003, который был специально разработан для прекращения инженерных процессов Siemens.

Ramnit, штамм вредоносного ПО, изначально известный своей способностью атаковать банковские учетные данные, превратился в более сложную платформу, способную заражать ОТ-системы. Недавние выводы Forescout показывают, что Ramnit по-прежнему представляет устойчивую угрозу для ОТ-сетей.

Вредоносное ПО может распространяться через зараженные физические устройства, такие как USB-накопители, или слабо защищенные сетевые системы. Хотя конкретный вектор этих инфекций остается неясным, очевидно, что вредоносное ПО продолжает воздействовать на OT-среды.

С другой стороны, Chaya_003 представляет собой новую и развивающуюся угрозу. Основная функциональность вредоносного ПО включает прекращение критических инженерных процессов. Его дизайн предполагает преднамеренные попытки маскироваться под легитимные системные процессы, чтобы избежать обнаружения антивирусным программным обеспечением.

Forescout сообщает, что вредоносное ПО доставляется через инфраструктуру управления и контроля (C2), которая полагается на легитимные сервисы, такие как веб-хуки Discord, что усложняет его обнаружение.

Исследование подчеркивает важность обеспечения безопасности инженерных рабочих станций для предотвращения подобных атак. Рекомендации включают регулярное обновление программного обеспечения, внедрение надежной защиты конечных точек и сегментацию сетей для ограничения доступа к критическим системам.

Усиливающаяся изощренность этих атак, обусловленная доступностью генеративных AI-инструментов, подчеркивает необходимость превентивных мер безопасности в секторе OT.

Исследование Forescout также предупреждает, что по мере того как вредоносное ПО, нацеленное на инженерные процессы, становится более доступным, граница между менее квалифицированными и более продвинутыми злоумышленниками продолжает размываться, что усложняет различение простых и высоко изощренных угроз.