Эксперты Kaspersky GReAT впервые зафиксировали кибератаки группы SideWinder на объекты атомной отрасли

С 2024 года группа SideWinder стала совершать сложные целевые кибератаки (APT) на объекты атомной отрасли в Южной Азии, включая АЭС и агентства по атомной энергии. Это обнаружили эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»). Цель злоумышленников — кибершпионаж. При этом группа существенно расширила географию своей деятельности: атаки были зафиксированы в странах Африки, Юго-Восточной Азии, а также в некоторых частях Европы.

Как происходят кибератаки на атомную инфраструктуру

В основном злоумышленники используют традиционный метод — рассылки с вредоносными документами. Члены группы придумывают убедительные письма на темы, связанные, например, с регулированием индустрии или работой конкретных предприятий, а также используют отраслевую терминологию. Если жертва откроет вредоносное вложение, запустится цепочка эксплуатации уязвимости, в результате чего злоумышленники смогут получить доступ к конфиденциальной информации, в том числе о работе атомных объектов, исследованиях, данным о сотрудниках.  Для кибератак группа SideWinder использует сложное вредоносное ПО, например выявленный ранее зловред StealerBot, а также известную уязвимость в Microsoft Office (CVE-2017-11882). Однако теперь, чтобы избежать обнаружения, атакующие быстро создают модификации своих инструментов — иногда им требуется для этого менее пяти часов.

Что ещё изменилось в деятельности группы

SideWinder активна с 2012 года. Традиционно целью злоумышленников были правительственные, военные и дипломатические учреждения. Однако в 2024 году в число мишеней группы вошли организации из других отраслей: помимо объектов атомной энергетики, члены SideWinder также впервые атаковали морскую инфраструктуру и логистические компании.

Существенно расширилась и география атак. На данный момент «Лаборатория Касперского» зафиксировала активность SideWinder в 15 странах на трёх континентах. В частности, были выявлены многочисленные инциденты в Джибути, после группа переключилась на организации в Египте, а также в Мозамбике, Австрии, Болгарии, Камбодже, Индонезии, на Филиппинах и во Вьетнаме. С действиями злоумышленников также столкнулись дипломатические учреждения в Афганистане, Алжире, Руанде, Саудовской Аравии, Турции и Уганде.

«Мы наблюдаем не просто расширение географии атак, но и существенную эволюцию технических возможностей и амбиций группы SideWinder, — комментирует Василий Бердников, ведущий эксперт Kaspersky GReAT. — Злоумышленникам удаётся с поразительной скоростью развёртывать обновлённые варианты вредоносного ПО после обнаружения. Это меняет ландшафт киберугроз: от реагирования мы переходим практически к противостоянию с атакующими в режиме реального времени».