Эксперты из Trend Micro Кайл Уилхойт (Kyle Wilhoit) и Джим Гоголински (Jim Gogolinski) сообщили о том, что хакерская группировка Sandworm Team осуществляет атаки на промышленные SCADA-системы, использующие продукты GE Intelligent Platforms. Напомним , что об этой группировке стало известно после обнаружения эксплуатации уязвимости нулевого дня в Windows.
По словам исследователей, атаки осуществляются по двум векторам – с использованием файлов .cim и .bci приложения CIMPLICITY. Данное решение разработано GE Intelligent Platforms для работы с системами с человеко-машинным интерфейсом (ЧМИ), которые применяются вместе со SCADA. Эксперты обнаружили, что в ходе атаки злоумышленники внедряют вредоносные файлы в установочную директорию CIMPLICITY, используя среду %CIMPATH%. Поскольку системы с ЧМИ участвуют в управлении многими производственными процессами, исследователи затрудняются определить конечную цель хакеров.
Эксперты из Trend Micro особо подчеркнули, что в настоящее время они зафиксировали только использование CIMPLICITY в векторах атаки, однако никаких доказательств того, что вредоносное ПО используется для управления какой-либо SCADA-системой или информацией, обнаружено не было. “Поскольку ЧМИ используется в корпоративных сетях и сетях управления, скорее всего, целью мог быть именно сегмент сети”, – сообщили эксперты. (Sandworm Team/NovostIT)