В результате исследования, проведённого профильной ИБ-компанией Forescout, было обнаружено, что новые вредоносные хакерские атаки, направленные на промышленные системы управления (ICS), могут привести к остановке инженерных процессов.
Исследователи выявили два типа вредоносных атак, направленных на рабочие станции Mitsubishi и Siemens, которые были перечислены в репозитории VirusTotal в период с августа по ноябрь 2024 года.
Эксперты отмечают, что одним из основных вредоносных программ является Ramnit, нацеленный на рабочие станции Mitsubishi, и новая экспериментальная вредоносная программа Chaya_003, которая нацелена на рабочие станции Siemens. При этом вредонос Chaya_003 продемонстрировал способность завершать инженерные процессы.
Эксперты также отмечают, что хакеры использовали легитимные сервисы для управления и контроля (C2), что затрудняет обнаружение угроз.
В отчёте Forescout отмечается, что инженерные рабочие станции представляют собой стандартные компьютеры, работающие под управлением традиционных операционных систем, таких как Windows, а также специализированного инженерного программного обеспечения, предоставляемого производителями оборудования. Это программное обеспечение необходимо для ввода в эксплуатацию и программирования полевых устройств, таких как программируемый логический контроллер (ПЛК), в средах операционных технологий (OT) и ICS.
Аналитики Forescout также ссылаются на результаты недавнего исследования Института SANS, которое показало, что взлом рабочих станций инженеров является причиной более 20% инцидентов в системах OT/ICS.
Эксперты из Forescout обнаружили два кластера Ramnit, которые заражают рабочие станции Mitsubishi. Вредонос Ramnit впервые появился в 2010 году как банковский троян, предназначенный для кражи учётных данных, а затем превратился в модульную платформу, способную загружать плагины с сервера C2. Вредоносное ПО может распространяться через заражённые физические устройства, такие как USB-накопители, или через сети, скомпрометированные плохо сегментированными ИТ-системами.