Стали известны подробности произошедшей в выходные разрушительной кибератаки на стратегические объекты металлургии Ирана - Hormozgan Steel, Khouzestan Steel и Mobarakeh Steel, ответственность за которую вязала на себя группа Gonjeshke Darande.

Ресерчерам Check Point удалось обнаружить файлы, связанные с атакой, первоначальный анализ которых указывает, что вредоносное ПО, получившее наименование Chaplin, непосредственным образом также связано с прошлогодними атаками на Иранские железные дороги.

Исполняемый файл Chaplin.exe представляет собой вариант Meteor - вайпера, замеченного в атаках на железные дороги и правительство Ирана. Оба имеют общую кодовую базу, но у Chaplin, в отличие от Meteor и его предыдущих вариантов - Stardust и Comet, отсутствует функция очистки.

Кроме того, Chaplin не содержит журналов отладки, но включает важную информацию о RTTI. Он начинает свое выполнение с отключения сетевых адаптеров, выхода пользователя из системы и выполнения двоичного файла в новом потоке Screen.exe.

Файл принудительно включает дисплей, блокирует взаимодействие пользователя с компьютером и воспроизводит video.wmv с использованием COM-объекта Filter Graph Manager и удаляет раздел реестра "Lsa", препятствуя правильной загрузке системы.

Однокадровое видео совпадает с фотографией загруженной хакерами в соцсети, отображая логотипы жертв Predatory Sparrow: Khouzestan Steel Company (KSC), Иранскую нефтяную компанию, Министерство дорог и городского развития, Иранские железные дороги.

Как и в предыдущих инцидентах, хакеры оставили для связи номер телефона, принадлежащий офису верховного лидера Ирана.

В настоящее время неясно, есть ли у Chaplin какие-либо модули, которые позволяли бы ей взаимодействовать с промышленным оборудованием в сети OT компании Khouzestan Steel.

Исследователи Certfa Labs, судя по представленному хакерами видео, предполагают, что взаимодействие с промышленным оборудованием завода могло происходить по другому каналу - через панель управления, принадлежащую Irisa, которая предоставляет сетевые услуги и обеспечивает промышленную инфраструктуру для иранских компаний.

Специалисты при этом не исключают, что Gonjeshke Darande, по-прежнему, могут иметь доступ к сетям других организаций.

​​Как обеспечить эффективный контроль безопасности ПО?

🗓13 июля в 14:00 (МСК) на открытом вебинаре «РТК-Солар» расскажут, чем SAST-решения могут быть полезны для компаний, а также проведут демонстрацию Solar appScreener в реальном времени и ответят на ваши вопросы.

На вебинаре вы узнаете:
▪️Кому и в каких случаях необходимо инструментальное средство контроля безопасности ПО
▪️Какие подходы нужно применять при внедрении практик безопасной разработки/ DevSecOps
▪️Какова роль статического анализатора кода в этих процессах
▪️Об основных сценариях использования решения SAST на реальных примерах в режиме живой демонстрации

Мероприятие будет полезно:
▪️Руководителям и экспертам служб ИБ
▪️Руководителям разработки и аналитики ПО
▪️Представителям компаний-интеграторов
▪️Специалистам по application security
▪️Всем, кто интересуется темой безопасности кода

⏩ Зарегистрироваться