Хакеры нашли новый способ атаковать объекты КИИ

При разборе целевой атаки в одной из азиатских стран эксперты Symantec/Broadcom обнаружили свидетельства использования RAT-трояна ShadowPad для закрепления доступа к сети и кражи информации о национальной энергосистеме.

Зловред ShadowPad, пришедший на смену PlugX, представляет собой модульный троян, способный динамически загружать дополнительные плагины с удаленного сервера. Его используют в основном китайские APT-группы, занимающиеся шпионажем, пишет Anti-Malware.ru.

RAT-троян был запущен на одном из компьютеров жертвы. По словам Symantec, задействованные в данной атаке инфраструктура и инструменты отчасти совпадают с теми, что использует APT41, она же Winnti. Новую кибергруппу эксперты нарекли Redfly; похоже, ее интересуют только объекты КИИ. Попыток совершить диверсию после вторжения не обнаружено.

Юлия Парфенова, менеджер по продукту Efros Defence Operations, ООО «Газинформсервис» рассказала, как выстроить надежную защиту своей информационной инфраструктуры:

– Сегодня киберпреступники быстро и уверенно развивают свои компетенции, постоянно придумывая новые пути обхода даже самой сложной защиты. В данной ситуации организациям необходимо выстраивать защиту своей информационной инфраструктуры на разных уровнях и используя решения разных вендоров из области информационной безопасности.

Так, например, если преступник сумел обойти защиту на уровне аутентификации и dmz-зону, его можно выявить в случае, если он произвел изменения в конфигурациях или критически важных файлах.

Очевидно, что при наличии такой функции защиты, как контроль целостности, у сотрудников ИБ-службы была бы возможность выявить изменения в конфигурациях и предотвратить дальнейшие действия злоумышленников.

В данном случае с помощью функции контроля целостности нарушители могли быть обнаружены на этапе замены разрешения драйверов и добавления или изменения задачи в планировщике.