Хакеры Lemon Sandstorm два года контролировали инфраструктуру Ближнего Востока

Компания Fortinet раскрыла детали масштабной кибершпионской операции, проведённой группировкой Lemon Sandstorm (также известной как Parisite, Pioneer Kitten и UNC757) против критической инфраструктуры на Ближнем Востоке. По данным отчета, злоумышленники действовали с мая 2023 по февраль 2025 года, получив устойчивый доступ к сетям энергокомпаний, водоснабжающих организаций и объектов нефтегазового сектора.

Проникновение происходило через уязвимости в VPN-сервисах, включая решения от Fortinet и Palo Alto. Сначала хакеры использовали похищенные данные для входа, внедряли веб-оболочки и устанавливали бэкдоры Havoc, HanifNet и HXLibrary. Далее последовали новые волны атак с применением NeoExpressRAT, MeshCentral и SystemBC, а также целевые фишинговые кампании и эксплуатация уязвимостей в системах контроля доступа Biotime.

Особенностью операции стало длительное скрытное присутствие — атакующие использовали прокси-цепочки, продуманные инструменты бокового перемещения и сложные методы сохранения доступа к сети. Хотя прямое проникновение в управляющие OT-сегменты подтверждено не было, главной целью злоумышленников считалась именно эта часть инфраструктуры.

Исследователи отмечают, что действия осуществлялись вручную, с высоким уровнем координации и технической подготовки. По данным Fortinet и Dragos, аналогичные атаки Lemon Sandstorm зафиксированы в США, Европе и Австралии.