• О проекте
  • Контакты
Четверг, 2 февраля, 2023
  • Вход
  • Зарегистрироваться
No Result
View All Result
АСУТП.ru
Средства и системы
промышленной автоматизации
  • Новости
  • События
  • Публикации
  • Компании
  • Рынки и продукты
    • Системы управления производством
    • Программно-технические комплексы
    • Программное обеспечение
    • Промышленные сети
    • Промышленные компьютеры/PLC
    • Электротехническое оборудование
    • КИП
  • Новости
  • События
  • Публикации
  • Компании
  • Рынки и продукты
    • Системы управления производством
    • Программно-технические комплексы
    • Программное обеспечение
    • Промышленные сети
    • Промышленные компьютеры/PLC
    • Электротехническое оборудование
    • КИП
No Result
View All Result
АСУТП.ru
No Result
View All Result
Реклама
Главная Новости

Заражение особым видом вредоносного ПО угрожает госучреждениям и промышленности России

Буткиты запускаются до загрузки ОС и все чаще используются в целевых и массовых атаках.

от admin
28.07.2022
в Новости
0 0
AA
0
0
SHARES

Эксперты Positive Technologies проанализировали все известные 39 семейств буткитов, как существующих в формате Proof of Concept1 (доказывающем возможность осуществления идеи или метода), так и использующихся в реальных атаках злоумышленников с 2005 по 2021 год. Исследование показало , что каждый второй буткит применяется в целевых атаках, при этом, несмотря на высокую стоимость разработки этих зловредов, злоумышленники стали использовать их в массовых атаках.

Буткит — вредоносный код, который запускается до загрузки операционной системы (ОС). Его основная задача — помочь другому вредоносному программному обеспечению (ПО) закрепиться в системе до ее запуска. Поскольку большинство систем защиты, например антивирусных программ, запускается одновременно с ОС, вероятность обнаружения буткита уменьшается. Еще недавно была распространена точка зрения, что буткиты, внедряемые на стадии запуска низкоуровневого ПО BIOS или UEFI, практически не встречаются в реальных атаках, однако это миф. Из 39 проанализированных семейств буткитов как минимум 70%, 27 семейств, использовались в кибератаках, причем половина из них, 14, — APT-группировками, например Careto , Winnti (APT41), FIN1 и APT28 .

По данным Positive Technologies, росту популярности буткитов среди злоумышленников способствует регулярное обнаружение уязвимостей в прошивках. Например, для UEFI только в 2021 году в национальной базе уязвимостей ( NDV ) появилось 18 записей. Для сравнения: в 2020 году их было 12, на 30% меньше, а в 2019 — всего 5 записей. Сейчас функции буткитов добавляются к разным вредоносным программам: так поступают разработчики шифровальщиков, например Satana и Petya , и ботнетов, к примеру Trickbot .

Похожие публикации

Группа «Рексофт» создает Центр развития технологий — АСУТП и цифровизации производства

В Липецке реализовали пилотный проект цифровизации теплоснабжения

Автоматизированная система управления и диагностики турбины №1 Красноярской ТЭЦ-2 построена на контроллерах REGUL R500

«Среди проанализированных нами буткитов 76% были разработаны под устаревший и небезопасный BIOS, —отмечает аналитик исследовательской группы Positive Technologies Яна Юракова. — Intel еще в 2020 годуостановила поддержку BIOS, но некоторые компании не могут быстро обновить ИТ-инфраструктуру либо используют гипервизоры, в которых по умолчанию рекомендовано использовать BIOS. Из-за этого буткиты для заражения BIOS до сих пор не теряют своей актуальности. По нашей оценке, в России с такой проблемой чаще сталкиваются госучреждения и промышленность».

Реклама

По данным исследования, начиная с 2020 года все буткиты, встречающиеся в реальных атаках, были ориентированы на UEFI, например Mosaic Regressor, Trickboot, FinSpy , ESPEcter, MoonBounce . Несмотря на большую защищенность UEFI и добавленный протокол безопасной загрузки (Secure Boot), существует несколько возможных вариантов заражения прошивки UEFI: от атак на цепочки поставок2— до удаленного внедрения с помощью повышения привилегий для установки полезной нагрузки на уровне ядра ОС.

Эксперты Positive Technologies отмечают сложность разработки буткитов, что отражается на их стоимости на теневом рынке. Средняя стоимость аренды буткита составляет 4900 долл. США. Для сравнения: взять в аренду руткит3злоумышленник может за 100–200 долл. США. Исследователи Positive Technologies проанализировали 58 каналов в Telegram и десять наиболее популярных русскоязычных и англоязычных форумов в дарквебе, где представлены предложения о продаже и запросы о покупке буткитов, а также объявления о поиске разработчиков вредоносов. За 10 000 долл. США киберпреступник может приобрести исходный код для буткита, а за 2000 — получить образ для запуска. За разработку буткита злоумышленники готовы платить до 5 000 долл. США. Максимальная цена, которую готовы заплатить за буткит для прошивки UEFI, составляет 2 млн долл. США.

Несмотря на высокую стоимость, киберпреступники используют буткиты не только в целевых (например, во время шпионажа за дипломатами из Африки, Азии и Европы с помощью Mosaic Regressor ), но и в массовых атаках. Так, буткит Rovnix распространяли в рамках фишинговой кампании , использующей в качестве повестки информацию о новой инициативе Всемирного банка в связи с эпидемией коронавируса. Буткит Adushka был нацелен на обычных пользователей и применялся в том числе для кражи данных из личных аккаунтов в онлайн-играх. Еще один буткит, который был использован в массовых атаках, — Oldboot . Он ориентирован на устройства на платформе Android. Злоумышленники инфицировали более 350 000 мобильных устройств. Буткит создавал условия для внедрения загрузчика и шпионского ПО, которое помогало собирать и удалять SMS-сообщения.

Для доставки буткитов в инфраструктуру организаций злоумышленники используют в основном целенаправленный фишинг через электронную почту. Так, например, распространяются буткиты Mebromi и Mosaic Regressor . Еще одним вектором доставки становятся сайты , в том числе техника Drive-by Compromise — с помощью этой техники происходило заражение вредоносами Pitou и Mebroot, причем киберпреступники, распространяющие Mebroot , взломали более 1500 веб-ресурсов для размещения вредоносного кода. Буткит FispBoot попадал на устройство после заражения трояном Trojan-Downloader.NSIS.Agent.jd, который жертва загружала под видом видеоролика.

«Самый действенный способ обнаружить буткит, в том числе разработанный под такую сложную подсистему, какUEFI, — сделать это при помощи решенийкласса Sandboxдо его внедрения в прошивку или первые разделы жесткого диска,—комментирует Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности компании Positive Technologies (PT Expert Security Center).—Например, песочницаPT Sandboxпозволяет детектировать как буткиты старого образца, так и современные, с учетом известных на настоящий момент векторов атак злоумышленников. Детектирование буткита в песочнице предполагаетвозможность зафиксировать заражение на стадии обыкновенного анализа и получить более детальное поведение вредоноса — инфицирование в результате перезагрузки ОС после включения компьютера. Особенность кастомизированного PT Sandbox состоит в том, что оператор может выбрать режим анализа с перезагрузкой системы. После перезапуска он продолжает наблюдать за стадией перезагрузки. И на этой стадии, если произошло инфицирование, оператор сможет получить информацию о том, как именно действует буткит. Это позволяет нивелировать шанс пропуска буткита, если он выполнит заражение незаметно для нас на начальной стадии работы».

В качестве превентивных мер эксперты рекомендуют также отслеживать потенциально опасные операции в системе (получение прямого доступа к жесткому диску, установка драйвера, чтение прошивки), включить режим Secure Boot для UEFI, не производить загрузку ОС с использованием недоверенных носителей, при обновлении версии ОС и прошивки проверять, не появлялась ли информация о компрометации вендоров. Чтобы избежать заражения смартфона на базе Android такими буткитами, как Oldboot , рекомендуется не приобретать устройства в недоверенных магазинах и не загружать прошивки, полученные из ненадежных источников.

С полной версией исследования можно ознакомиться насайте Positive Technologies.


1PoC (Proof of Concept) буткитов представляют особый интерес для аналитиков и исследователей, так как, изучив их функции, можно прогнозировать, какие техники и методы будут использоваться злоумышленниками и на что нужно обратить внимание, чтобы обеспечить превентивную защиту.
2Атака на цепочки поставок (supply chain attack) — вид кибератаки, который заключается во внедрении вредоносного кода в процесс разработки программного обеспечения, как правило, с помощью стороннего программного обеспечения.
3Руткит — программа (набор программ), позволяющая скрыть присутствие вредоносного ПО в системе.

Источник: https://www.securitylab.ru/news/532981.php

Tags: АСУ ТПкибербезопасностьНовости Positive Technologies
ShareTweetShareShareОтправить Отправить
Реклама
Реклама

Рекомендуемое

Ф1772 - новое поколение многоканальных электронных регистраторов REGIGRAF

Ф1772 — новое поколение многоканальных электронных регистраторов REGIGRAF

4 года тому назад

AVEVA и OSISOFT объединяются для ускорения цифровых преобразований в промышленности

2 года тому назад

Популярные новости

  • Просто о стандартах OPC DA и OPC UA

    Просто о стандартах OPC DA и OPC UA

    0 shares
    Share 0 Tweet 0
  • IoT промышленные компьютеры XINJE XSA330-W на платформах CODESYS, WINDOWS и LINUX

    0 shares
    Share 0 Tweet 0
  • Компактный защищенный планшетный компьютер M101EK от компании Winmate

    0 shares
    Share 0 Tweet 0
  • Группа «Рексофт» создает Центр развития технологий — АСУТП и цифровизации производства

    0 shares
    Share 0 Tweet 0
  • Компания «КРУГ» сообщает о выходе новой версии 4.4 SCADA КРУГ-2000

    0 shares
    Share 0 Tweet 0

Подписка на новости

Рубрики

  • Компании
  • Новости
  • Программно-технические комплексы
  • Программное обеспечение
  • Промышленные компьютеры/PLC
  • Публикации
  • Рынки и продукты

О проекте

Портал АСУТП.ру - популярный интернет-ресурс, который предназначен для профессионалов, работающих в сфере автоматизации производства.
Подробнее...

  • О проекте
  • Контакты

Copyright © 2000 - 2020 ASUTP.ru. Авторские права охраняются.
Воспроизведение материалов или их частей в любом виде без письменного разрешения запрещено.

No Result
View All Result
  • Главная
  • Новости
  • События
  • Публикации
  • Компании
  • Рынки и продукты
    • Системы управления производством
    • Программно-технические комплексы
    • Программное обеспечение
    • Промышленные сети
    • Промышленные компьютеры/PLC
    • Электротехническое оборудование
    • КИП
  • Вход
  • Зарегистрироваться

Copyright © 2000 - 2020 ASUTP.ru. Авторские права охраняются.
Воспроизведение материалов или их частей в любом виде без письменного разрешения запрещено.

С возвращением!

Войдите в свой аккаунт

Забыт пароль? Зарегистрироваться

Создание нового профиля

Заполните поля формы для регистрации

Все поля должны быть заполнены. Вход

Получить пароль

Пожалуйста, введите имя пользователя или e-mail, чтобы сбросить пароль.

Вход
Дорогие посетители, сайт ASUTP.ru использует файлы cookies.