Эксперты Kaspersky GReAT впервые зафиксировали кибератаки группы SideWinder на объекты атомной отрасли
С 2024 года группа SideWinder стала совершать сложные целевые кибератаки (APT) на объекты атомной отрасли в Южной Азии, включая АЭС и агентства по атомной энергии. Это обнаружили эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»). Цель злоумышленников — кибершпионаж. При этом группа существенно расширила географию своей деятельности: атаки были зафиксированы в странах Африки, Юго-Восточной Азии, а также в некоторых частях Европы.
Как происходят кибератаки на атомную инфраструктуру
В основном злоумышленники используют традиционный метод — рассылки с вредоносными документами. Члены группы придумывают убедительные письма на темы, связанные, например, с регулированием индустрии или работой конкретных предприятий, а также используют отраслевую терминологию. Если жертва откроет вредоносное вложение, запустится цепочка эксплуатации уязвимости, в результате чего злоумышленники смогут получить доступ к конфиденциальной информации, в том числе о работе атомных объектов, исследованиях, данным о сотрудниках. Для кибератак группа SideWinder использует сложное вредоносное ПО, например выявленный ранее зловред StealerBot, а также известную уязвимость в Microsoft Office (CVE-2017-11882). Однако теперь, чтобы избежать обнаружения, атакующие быстро создают модификации своих инструментов — иногда им требуется для этого менее пяти часов.
Что ещё изменилось в деятельности группы
SideWinder активна с 2012 года. Традиционно целью злоумышленников были правительственные, военные и дипломатические учреждения. Однако в 2024 году в число мишеней группы вошли организации из других отраслей: помимо объектов атомной энергетики, члены SideWinder также впервые атаковали морскую инфраструктуру и логистические компании.
Существенно расширилась и география атак. На данный момент «Лаборатория Касперского» зафиксировала активность SideWinder в 15 странах на трёх континентах. В частности, были выявлены многочисленные инциденты в Джибути, после группа переключилась на организации в Египте, а также в Мозамбике, Австрии, Болгарии, Камбодже, Индонезии, на Филиппинах и во Вьетнаме. С действиями злоумышленников также столкнулись дипломатические учреждения в Афганистане, Алжире, Руанде, Саудовской Аравии, Турции и Уганде.
«Мы наблюдаем не просто расширение географии атак, но и существенную эволюцию технических возможностей и амбиций группы SideWinder, — комментирует Василий Бердников, ведущий эксперт Kaspersky GReAT. — Злоумышленникам удаётся с поразительной скоростью развёртывать обновлённые варианты вредоносного ПО после обнаружения. Это меняет ландшафт киберугроз: от реагирования мы переходим практически к противостоянию с атакующими в режиме реального времени».
похожие материалы
Пассворк стал первым менеджером паролей в России c сертификацией ФСТЭК
Компания Пассворк объявила о получении сертификата ФСТЭК России № 5063 по 4-му уровню доверия.
«Лаборатория Касперского» и hh.ru выяснили, как компании выстраивают киберзащиту и обучают сотрудников
Российские компании планомерно выстраивают системный подход к обучению сотрудников кибербезопасности.
Доход обещают пассивный, а списание вполне реальное
МВД предупредило о мошеннической схеме с «пассивным заработком» на VPS-серверах.
Дешевле агрегатора, но без защиты: «серое» такси ушло в чаты на миллионы пользователей
В России за два года почти втрое выросло число чатов, групп и сообществ с нелегальными и «серыми» такси.
Разработчики говорят, что ИИ помогает работать быстрее, но оценки могут быть завышены
Специалисты METR опубликовали исследование о том, как технические специалисты оценивают влияние ИИ-инструментов на свою продуктивность.
Больше половины банков используют устаревшие ИТ-системы
Согласно исследованию RED Security, в большинстве отечественных банков существуют системные проблемы с кибербезопасностью, создающие риски для бизнеса на фоне растущей активности хакеров и мошенников.
Эксперт компании «Газинформсервис»: «Принято считать, что кибербезопасность глобальна, но хакеры специализируются на конкретных странах»
Исследователи обнаружили, что новый банковский троян TCLBanker способен самостоятельно распространяться по принципу сетевого червя как через один из мессенджеров, так и через почтовый клиент Microsoft Outlook, рассылая фишинговые сообщения от имени заражённых пользователей.
«АйТи Бастион» присоединился к Ассоциации РУССОФТ
Российский разработчик решений в области защиты привилегированного доступа и автоматизации «АйТи Бастион» вошел в Ассоциацию разработчиков программного обеспечения РУССОФТ — одному из крупнейших объединений ИТ-компаний страны, участвующему в развитии отечественной ИТ-индустрии и продвижении российских технологий на внутреннем и зарубежных рынках.
Российским разработчикам рекомендуют переходить с GitHub на российские платформы
Депутат Госдумы по информационной политике Антон Горелкин заявил, что российским разработчикам стоит переносить проекты с GitHub в другие репозитории.
IV Форум «Технологии доверенного искусственного интеллекта»
В Москве 13 мая проходит IV Форум «Технологии доверенного искусственного интеллекта» — авторитетная площадка по научным, прикладным и законодательным аспектам разработки и применения решений на базе ИИ.