2х-комнатная квартира Агрба 5/1 кв 33 в Пицунде, р. Абхазия, г. Пицунда, ул. Агрба, 5/1 кв. 33 (цены, отзывы, фото)
Площадь: 65 м2
Число гостей: до 6
Доп. места: бесплатно
Удобства:
шкаф, комод, стулья, тумбочки, кровати односпальные, кровать двуспальная, диван-кровать, кресло, кресло-кровать, стол, туалетный столик, кухонный стол, журнальный столик, обеденный стол, вешалка, посуда
Техника:
телевизор, спутниковое ТВ, холодильник, СВЧ, электрочайник, Wi-Fi интернет, сплит-система
- санузел и душ в квартире (совмещены)
О именных танках КВ 33-й танковой бригады
На сайте Госкаталог.РФ представлена подборка фотографий экипажа именного танка КВ-1 «Ленин» из собрания Новгородского государственного объединенного музея-заповедника.В аннотации к фотографиям говорится, что снимки были сделаны 23 августа 1942 года в районе ст. Пола старшим сержантом А. Рузановым.
Экипаж танка «Ленин». Слева направо: Панжин, Михайлов, Паршков, Попков, Галимов (Госкаталог.РФ).
Информация из документов сайтов Подвиг народа и Память народа позволила установить, что на снимках изображены танкисты из 243-го танкового батальона 33-й танковой бригады.
10 августа 1942 года танки КВ-1 33-й танковой бригады в ходе очередной попытки частей 11-й армии Северо-Западного фронта сокрушить северную стенку Рамушевского коридора прорвали немецкую оборону, ворвались в деревню Рыкалово Парфинского района Новгородской области и удерживали её до подхода пехоты, отразив несколько контратак.
В этих боях особо отличился экипаж танка КВ-1 «Ленин» командира роты тяжелых танков 243-го танкового батальона старшего лейтенанта Паршкова, который в течении 5 суток, находясь в подбитом танке, участвовал в обороне Рыкалова.
Согласно информации из наградных листов на членов экипажа, за время боев экипаж танка отразил 30 атак противника, «…уничтожил два тяжелых танка и подбил один средний танк, уничтожил шесть ПТО, четыре ДЗОТа с пушками, две минометных батареи, зажег склад с боеприпасами, а также уничтожил 6 автомашин и до батальона немецких солдат и офицеров«.
Старший лейтенант Паршков (слева) и механик-водитель старший сержант Михайлов, члены экипажа танка КВ «Ленин» (Госкаталог.РФ).
По итогам боев командир танка старший лейтенант Паршков Тимофей Тимофеевич и механик-водитель старшина Михайлов Николай Львович (погиб в 1944 году в Восточной Пруссии) были награждены орденами Красного Знамени.
Члены экипажа танка КВ «Ленин» (слева направо): Паншин, Галимов, Попков (Госкаталог.РФ).
Командир орудия старшина Галимов Фодай Галяуждинович и радиотелеграфист старший сержант Попков Иван Андреевич (погиб в 1944 году в Белоруссии) были награждены медалями За Отвагу. К сожалению, наградной лист на заряжающего Панжина (Паншина) я не нашел. Возможно, его фамилия искажена.
Экипаж танка «Ленин». На снимке изображение в полный рост тринадцати мужчин в военной форме, в головных уборах и одной женщины, стоящей третьей слева (Чугай Т.В. – автор газетного очерка о танкистах). Группа запечатлена в три ряда: в 1-м ряду – полулёжа, во 2-м ряду – сидя, в 3-м ряду – стоя. Все запечатлены на фоне танка «Ленин», стоящего в кустах (Госкаталог.РФ).
На следующем снимке вместе с экипажем сфотографировались корреспондент фронтовой газеты Северо-Западного фронта «За Родину» Чугай Татьяна Васильевна и командный состав 243-го танкового батальона — справа от Чугай стоит командир батальона майор Хубаев Дмитрий Васильевич и, видимо, военком роты тяжелых танков старший политрук Лагушкин Иван Дмитриевич.
Из наградных на других танкистов известно, что, кроме танка «Ленин», в составе 243-го ТБ участвовали в боях за Рыкалово именные танки КВ-1 «Багратион» и «Ворошилов».
Наиболее вероятно, что наименования танки КВ-1 33-й танковой бригады получили в начале мая 1942 года перед началом боев на Северо-Западном фронте, так как на момент погрузки бригады на станции Красная Пресня они еще отсутствовали на бортах башен танков.
В 33-м танковом батальоне 33-й ТБР также были именные танки КВ-1.
В первом бою бригады на Северо-Западном фронте 7 мая 1942 года в районе деревни Крутики Демянского района Новгородской области при подходе к переднему краю обороны противника в заболоченной лощине застряли именные танки КВ-1 «Сталин» и «Молотов» из 33-го танкового батальона. Подбитый танк «Молотов» удалось эвакуировать, а вот танк «Сталин» «…в результате бомбежки сгорел«.
Пока всё. Исправления и дополнения приветствуются.
Setl Group сдал рекордные 1,33 млн кв. м недвижимости в 2019 году
По итогам 2019 года, общая площадь введенных в эксплуатацию объектов холдинга Setl Group составила 1,33 млн кв. м, что на 3,2% превосходит результат 2018 года. Это рекордный объем для компании. По данным ЕРЗ, холдинг стал лидером по объему ввода жилья в Санкт-Петербурге с долей почти 17%.
Продаваемая площадь сданных объектов Setl Group, с учетом коммерческих помещений, без паркингов, в 2019 году достигла 701 тыс. кв. м, что на 10,7% выше, чем в предыдущем году. При этом отдельно площадь квартир составила 679 тыс. кв. м, что на 14,8% больше, чем в 2018-м.
Среди объектов, введенных в эксплуатацию на территории Петербурга, – очереди жилых комплексов комфорт-класса «Чистое небо» в Приморском районе и «Солнечный город» в Красносельском. В 2019 году компания полностью завершила строительство ЖК «Невские паруса» в Невском районе, на видовом участке у излучины Невы. Жилой комплекс высокого комфорт-класса «МореОкеан» в Приморском районе был сдан с рекордным опережением сроков сдачи: второй корпус – на 8 месяцев раньше. Setl Group ввел в эксплуатацию 2-ю очередь квартала бизнес-класса «Палацио» на Васильевском острове, а также проект премиум-класса «Петровский Квартал на воде» в Петроградском районе.
В Ленинградской области холдинг завершил строительство жилой части микрорайона «GreenЛандия». Это самый масштабный проект комплексного освоения в Ленобласти – за время реализации проекта было возведено свыше 1 млн 73 тыс. кв. м недвижимости. Кроме того, в 2019 году Setl Group сдал жилые дома в проектах в Калининграде и области: Lake City-5 и 8, Лето-11, 1 очередь «Стерео», досрочно были введены в эксплуатацию Олимпия-11 и 14.
Помимо жилых домов в прошлом году холдинг Setl Group ввел в эксплуатацию 10 социальных объектов, рассчитанных на 2385 мест, среди них 2 школы и 8 детских садов. Они расположены как в Санкт-Петербурге, так и в Ленинградской области. Большинство из них уже открыты и принимают ребят.
В 2019 году Setl Group завершил и ряд других социально значимых проектов. Холдинг построил первое пожарное депо в Кудрово: оно рассчитано на 4 пожарных машины и штат из 55 человек. Компания закончила строительство магистрали общегородского значения – шестиполосного участка Комендантского проспекта длиной почти 1 км. Холдинг также воссоздал особняк знаменитого промышленника Феликса Шопена на 25-й линии Васильевского острова в рамках проекта строительства жилого квартала бизнес-класса «Палацио».
— сенажная траншея (кадастровый номер 33:05:140101:199), площадью 580,1 кв.м, — сенажная траншея (кадастровый номер 33:05:140101:200), площадью 580,1 кв.м, — силосная траншея (кадастровый номер 33:05:140102:1160), площадью 522 кв.м, — силосная траншея (кадастровый номер 33:05:140102:1161), площадью 696 кв.м, — силосная траншея (кадастровый номер 33:05:140102:1162), площадью 1128 кв.м, вместе с земельным участком (кадастровый номер 33:05:140102:1407), площадью 18594 кв.м, адрес (местонахождение) объекта: Владимирская область, р-н Суздальский, МО Новоалександровское (сельское поселение), с Новоалександрово.: процедура 178fz13022000105
— сенажная траншея (кадастровый номер 33:05:140101:199), площадью 580,1 кв.м, по адресу: Владимирская область, р-н Суздальский, МО Новоалександровское (сельское поселение), с Новоалександрово, ориентир ул. Владимирская, д 52, — сенажная траншея (кадастровый номер 33:05:140101:200), площадью 580,1 кв.м, по адресу: Владимирская область, р-н Суздальский, МО Новоалександровское (сельское поселение), с Новоалександрово, ориентир ул. Владимирская, д 52, — силосная траншея (кадастровый номер 33:05:140102:1160), площадью 522 кв.м, по адресу: Владимирская область, р-н Суздальский, МО Новоалександровское (сельское поселение), с Новоалександрово, ориентир зерновой склад №1, на восток 20 м силосная траншея № 1а, — силосная траншея (кадастровый номер 33:05:140102:1161), площадью 696 кв.м, по адресу: Владимирская область, р-н Суздальский, МО Новоалександровское (сельское поселение), с Новоалександрово, ориентир зерновой склад №1, на восток 20 м, силосная траншея № 2а, — силосная траншея (кадастровый номер 33:05:140102:1162), площадью 1128 кв.м, по адресу: Владимирская область, р-н Суздальский, МО Новоалександровское (сельское поселение), с Новоалександрово, ориентир зерновой склад №1, на восток 20 м, силосная траншея № 3а, вместе с земельным участком (кадастровый номер 33:05:140102:1407), площадью 18594кв.м, адрес (местонахождение) объекта: Владимирская область, р-н Суздальский, МО Новоалександровское (сельское поселение), с Новоалександрово.
11/0.4кв 33/0.4кв 25 ква до 2500 ква масло попал трансформатор питания Трансформатор распределения
Полюса установлен трансформатор распределения
Трансформатор распределения
1 — три этапа погружении масла
2-специализируются в трансформатор для 10 лет
3-авторитетных испытания типа отчетов
4-предлагаемых услуг для изготовителей оборудования
Трехфазный трансформатор, три фазы распределения трансформатора напряжения трансформатора, Полюсу установлен трансформатор
(I). Спецификация продукции:
Частота: 50 Гц или 60 Гц
Емкость: 25 Ква ~2500 ква
Первичное напряжение питания: 2400~46, 000V
Напряжение вторичной обмотки: 120~ 600 В
(II). Ассортимент продукции:
Соответствует или превышает стандартам ANSI
Прочная конструкция прекрасные короткое замыкание в цепи и выдерживать возможности
ROCKWELL трансформаторы являются более эффективными по сравнению с потерями без нагрузки и снизить потери нагрузки
Адаптированные к конкретным требованиям
(III). Три этапа полюс установленный тип трансформатора распределения функций:
— Трехфазный трансформатор с более экономичным с точки зрения затрат
— Полюс установлен трансформатор типа для простой установки
— Заполнение масла для охлаждения
— Три этапа полюс установлен трансформатор используется для передачи и распределения питания, с низкой и высокой эффективности
— Этот тип трехфазный трансформатор установлен столб — это усовершенствованная конструкция для увеличения прочности короткого замыкания, тепловая мощность
— Прочный и устойчив к коррозии покрытие соответствует всем требованиям стандарта ANSI/IEC/BS стандартов для одного этапа полюс установлен трансформатор.
— ROCKWELL три этапа полюс типа mout автоматизированная система Deisgn страхует каждого клиента уникальных требований.
С. Р. Г. O Кремния из стали или аморфные металлические доступна для заказчика.
(IV)Тип D16 серии OA Трехфазный блок распределения питания с трансформатором для установки на столб(CRGO Core (Bil Lewis) 150)
Другие продукты:
Https: //cnrockwell. En. Made-in-china. Com/product/TFamAyNlvJcE/China-11-0-4kv-25kVA-Oil-Immersed-Distribution-Transformer. Html
Https: //cnrockwell. En. Made-in-china. Com/product/pogxlMiUvCYQ/China-22kv-Distribution-Transformer-Oil-immersed-. Html
Взгляд на иранский кибершпионаж: APT33 нацелен на аэрокосмический и энергетический секторы и имеет связи с разрушительным вредоносным ПО
При обсуждении предполагаемых ближневосточных хакерских групп с деструктивными способностями многие автоматически думают о предполагаемой иранской группировке, которая ранее использовала SHAMOON — также известную как Disttrack — для нацеливания организации в Персидском заливе. Однако в течение последних нескольких лет мы отслеживали отдельную, менее известную предполагаемую иранскую группу с потенциально разрушительными возможностями, которую мы называем APT33.Наш анализ показывает, что APT33 — это боеспособная группа, которая осуществляет операции по кибершпионажу как минимум с 2013 года. Мы оцениваем работу APT33 по указанию иранского правительства.
Недавние исследования консультантов FireEye по реагированию на инциденты Mandiant в сочетании с анализом FireEye iSIGHT Threat Intelligence дали нам более полную картину операций, возможностей и потенциальных мотивов APT33. В этом блоге освещаются некоторые из наших анализов. В нашем подробном отчете FireEye Threat Intelligence содержится более тщательный обзор наших подтверждающих доказательств и анализа.Мы также продолжим обсуждение этой группы угроз во время нашего вебинара 21 сентября в 8:00 по восточному времени.
Ориентация
APT33 нацелен на организации, охватывающие несколько отраслей, со штаб-квартирами в США, Саудовской Аравии и Южной Корее. APT33 проявила особый интерес к организациям авиационного сектора, задействованным как в военном, так и в коммерческом секторе, а также к организациям в энергетическом секторе, связанным с нефтехимическим производством.
С середины 2016 по начало 2017 года APT33 взломал U.S. организация в аэрокосмическом секторе и нацелена на бизнес-конгломерат, расположенный в Саудовской Аравии с авиационными холдингами.
В тот же период APT33 также был нацелен на южнокорейскую компанию, занимающуюся нефтепереработкой и нефтехимией. Совсем недавно, в мае 2017 года, APT33, похоже, нацелился на саудовскую организацию и южнокорейский бизнес-конгломерат, используя вредоносный файл, который пытался соблазнить жертв вакансиями в нефтехимической компании Саудовской Аравии.
Мы оцениваем нацеливание нескольких компаний с авиационным партнерством на Саудовскую Аравию, указывает на то, что APT33, возможно, стремится получить представление о возможностях военной авиации Саудовской Аравии для расширения возможностей внутренней авиации Ирана или для поддержки принятия военных и стратегических решений Ирана по отношению к нему. Саудовская Аравия.
Мы полагаем, что нападение на саудовскую организацию могло быть попыткой разобраться в региональных соперниках, в то время как нападение на южнокорейские компании может быть связано с недавним партнерством Южной Кореи с нефтехимической промышленностью Ирана, а также отношениями Южной Кореи с саудовскими нефтехимическими компаниями. . Иран выразил заинтересованность в развитии своей нефтехимической промышленности и часто позиционировал это расширение как конкуренцию саудовским нефтехимическим компаниям. APT33 мог быть нацелен на эти организации в результате желания Ирана расширить собственное нефтехимическое производство и повысить свою конкурентоспособность в регионе.
Обобщенное нападение на организации, занимающиеся энергетикой и нефтехимией, отражает ранее наблюдавшееся нападение со стороны других предполагаемых иранских групп, представляющих угрозу, что указывает на общий интерес к секторам среди иранских субъектов.
На рисунке 1 показан глобальный масштаб нацеливания на APT33.
Рисунок 1: Сфера действия APT33
Spear Phishing
APT33 отправлял целевые фишинговые письма сотрудникам, чья работа связана с авиационной отраслью.Эти электронные письма содержали тематические приманки для вербовки и ссылки на файлы вредоносных HTML-приложений (.hta). Файлы .hta содержали описания вакансий и ссылки на законные объявления о вакансиях на популярных веб-сайтах по трудоустройству, которые были бы актуальны для целевых лиц.
Пример отрывка из файла .hta представлен на рисунке 2. Для пользователя файл будет казаться безобидными ссылками на законные объявления о вакансиях; однако, без ведома пользователя, файл .hta также содержал встроенный код, который автоматически загружал настраиваемый бэкдор APT33.
Рисунок 2: Выдержка из вредоносного файла .hta APT33
Мы оцениваем, что APT33 использовал встроенный модуль фишинга в общедоступной оболочке ALFA TEaM Shell (также известной как ALFASHELL) для отправки сотен целевых фишинговых писем целевым лицам в 2016 году. Многие из фишинговых писем выглядели законными — они ссылались на конкретную вакансию и salary, содержал ссылку на сайт занятости поддельной компании и даже включал поддельное заявление компании о равных возможностях при приеме на работу.Однако в некоторых случаях операторы APT33 оставили значения по умолчанию для фишингового модуля оболочки. Похоже, это ошибки, поскольку через несколько минут после отправки писем со значениями по умолчанию APT33 отправлял электронные письма тем же получателям с удаленными значениями по умолчанию.
Как показано на рисунке 3, модуль фишинга «поддельная почта» в ALFA Shell содержит значения по умолчанию, включая адрес электронной почты отправителя (solevisible @ gmail [.] Com), строку темы («ваш сайт взломан мной») и текст сообщения электронной почты («Привет, уважаемый администратор»).
Рисунок 3: ALFA TEaM Shell v2-Fake Mail (по умолчанию)
На рисунке 4 показан пример электронного письма, содержащего значения по умолчанию для оболочки.
Рисунок 4: Пример электронного письма, созданного оболочкой ALFA со значениями по умолчанию
Маскировка домена
APT33 зарегистрировал несколько доменов, которые маскируются под саудовские авиационные компании и западные организации, которые вместе имеют партнерские отношения для обеспечения обучения, технического обслуживания и поддержки военного и коммерческого флота Саудовской Аравии.Судя по наблюдаемым шаблонам таргетинга, APT33, вероятно, использовал эти домены в адресных фишинговых письмах с целью нацеливания на организации-жертвы.
Следующие домены маскируются под эти организации: Boeing, Alsalam Aircraft Company, Northrop Grumman Aviation Arabia (NGAAKSA) и Vinnell Arabia.
boeing.servehttp [.] Com |
alsalam.ddns [.] Net |
ngaaksa.ddns [.] net |
ngaaksa.sytes [.] Net |
vinnellarabia.myftp [.] Org |
Boeing, компания Alsalam Aircraft и Saudia Aerospace Engineering Industries создали совместное предприятие для создания Саудовского центра поддержки вертолетов в Саудовской Аравии в 2015 году с целью обслуживания винтокрылого парка Саудовской Аравии и создания самостоятельной рабочей силы в Саудовская база авиакосмического снабжения.
Alsalam Aircraft Company также предлагает военное и коммерческое обслуживание, техническую поддержку, а также услуги по дизайну и ремонту интерьера.
Два домена, похоже, имитировали совместные предприятия Northrop Grumman. Эти совместные предприятия — Vinnell Arabia и Northrop Grumman Aviation Arabia — обеспечивают авиационную поддержку на Ближнем Востоке, особенно в Саудовской Аравии. И Vinnell Arabia, и Northrop Grumman Aviation Arabia участвовали в контрактах на обучение сотрудников Министерства национальной гвардии Саудовской Аравии.
Установленное лицо, связанное с правительством Ирана
Мы идентифицировали вредоносное ПО APT33, связанное с иранским лицом, которое, возможно, использовалось иранским правительством для проведения киберугроз против своих противников.
Мы оцениваем, что субъект, использующий дескриптор «xman_1365_x», мог быть вовлечен в разработку и возможное использование бэкдора TURNEDUP APT33 из-за включения дескриптора в пути обработки-отладки (PDB) многих примеров TURNEDUP.Пример можно увидеть на рисунке 5.
Рисунок 5: Строка PDB «xman_1365_x» в TURNEDUP, пример
Xman_1365_x был также менеджером сообщества на иранском форуме программирования и разработки программного обеспечения Барнаменевиса и зарегистрировал учетные записи на хорошо известных иранских форумах Shabgard и Ashiyane, хотя мы не нашли доказательств того, что этот актер когда-либо был формальным членом Shabgard или хактивистские группы Ашияне.
Согласно сообщениям из открытых источников, «xman_1365_x» связан с «Институтом Наср», который якобы эквивалентен «кибер-армии» Ирана и контролируется иранским правительством.Кроме того, дополнительные доказательства связывают «Институт Насра» с атаками на финансовую индустрию в 2011–2013 годах, серией атак типа «отказ в обслуживании», получившей название «Операция Абабиль». В марте 2016 года Министерство юстиции США обнародовало обвинительное заключение, в котором названы имена двух лиц, предположительно нанятых иранским правительством для создания инфраструктуры атак и проведения распределенных атак отказа в обслуживании в поддержку операции Ababil. Хотя лица и действия, описанные в обвинительном заключении, отличаются от того, что обсуждается в этом отчете, он предоставляет некоторые доказательства того, что лица, связанные с «Институтом Наср», могут иметь связи с иранским правительством.
Возможные связи с разрушительными возможностями и сравнение с SHAMOON
Один из дропперов, используемых APT33, который мы называем DROPSHOT, был связан с вредоносной программой для очистки SHAPESHIFT. Исследования из открытых источников показывают, что SHAPESHIFT, возможно, использовался для нацеливания на организации в Саудовской Аравии.
Хотя мы только непосредственно наблюдали, как APT33 использует DROPSHOT для доставки бэкдора TURNEDUP, мы идентифицировали несколько образцов DROPSHOT в дикой природе, которые сбрасывают SHAPESHIFT.Вредоносная программа SHAPESHIFT способна очищать диски, стирать тома и файлы, в зависимости от своей конфигурации. И DROPSHOT, и SHAPESHIFT содержат артефакты на языке фарси, что указывает на то, что они могли быть разработаны носителем языка фарси (фарси является преобладающим и официальным языком Ирана).
Хотя мы непосредственно не наблюдали, как APT33 использует SHAPESHIFT или иным образом выполняет деструктивные операции, APT33 — единственная группа, которая, как мы наблюдали, использует дроппер DROPSHOT.Возможно, что DROPSHOT может распространяться среди базирующихся в Иране групп угроз, но у нас нет никаких доказательств того, что это так.
В марте 2017 года Kasperksy выпустил отчет, в котором сравнивал DROPSHOT (который они называют Stonedrill) с самым последним вариантом SHAMOON (называемым Shamoon 2.0). Они заявили, что оба дворника используют методы борьбы с эмуляцией и использовались для нацеливания на организации в Саудовской Аравии, но также упомянули несколько различий. Например, они заявили, что DROPSHOT использует более продвинутые методы защиты от эмуляции, использует внешние сценарии для самоудаления и использует инъекцию памяти по сравнению с внешними драйверами для развертывания.Касперский также отметил разницу в разделах на языке ресурсов: SHAMOON встраивает ресурсы арабско-йеменского языка, а DROPSHOT встраивает ресурсы на фарси (персидском) языке.
Мы также наблюдали различия как в нацеливании, так и в тактике, техниках и процедурах (TTP), связанных с группой, использующей SHAMOON и APT33. Например, мы наблюдали, как SHAMOON использовался для нацеливания на правительственные организации на Ближнем Востоке, тогда как APT33 нацелился на несколько коммерческих организаций как на Ближнем Востоке, так и во всем мире.APT33 также использует широкий спектр настраиваемых и общедоступных инструментов во время своей работы. Напротив, мы не наблюдали полного жизненного цикла операций, связанных с SHAMOON, отчасти из-за того, что очиститель удаляет артефакты на более ранних этапах жизненного цикла атаки.
Независимо от того, является ли DROPSHOT эксклюзивным для APT33, как вредоносное ПО, так и действия угроз, по-видимому, отличаются от группы, использующей SHAMOON. Таким образом, мы полагаем, что могут существовать несколько базирующихся в Иране групп угроз, способных проводить разрушительные операции.
Дополнительные связи подтверждают принадлежность Ирана
АтакиAPT33 на организации, занимающиеся аэрокосмической и энергетической отраслями, наиболее тесно связаны с интересами национального государства, что подразумевает, что злоумышленник, скорее всего, спонсируется государством. Это вкупе со временем проведения операций — которое совпадает с иранским рабочим временем — и использованием множества иранских хакерских инструментов и серверов имен подтверждает нашу оценку того, что APT33 мог действовать от имени иранского правительства.
Время суток, в которое были активны злоумышленники APT33, предполагает, что они работали в часовом поясе, близком к 4:30 часам перед всемирным координированным временем (UTC). Время наблюдаемой активности злоумышленников совпадает с дневным временем Ирана, которое составляет +0430 UTC.
APT33 в основном работал в дни, соответствующие рабочей неделе Ирана, с субботы по среду. Об этом свидетельствует отсутствие активности злоумышленников в четверг, как показано на Рисунке 6. Открытые источники сообщают, что Иран работает с субботы по среду или с субботы по четверг рабочей недели, при этом государственные учреждения закрыты в четверг, а некоторые частные предприятия работают в течение полдня. расписание на четверг. Многие другие страны Ближнего Востока решили проводить выходные с пятницы и субботы. Иран — одна из немногих стран, которые подписываются на рабочую неделю с субботы по среду.
APT33 использует популярные иранские хакерские инструменты и DNS-серверы, используемые другими предполагаемыми иранскими группами угроз. Общедоступные бэкдоры и инструменты, используемые APT33, включая NANOCORE, NETWIRE и ALFA Shell, доступны на иранских хакерских веб-сайтах, связаны с иранскими хакерами и используются другими предполагаемыми иранскими группами угроз.Хотя само по себе не является окончательным, использование общедоступных иранских хакерских инструментов и популярных иранских хостинговых компаний может быть результатом знакомства с ними APT33 и поддерживает оценку того, что APT33 может базироваться в Иране.
Рисунок 6. Интерактивные команды APT33 по дням недели
Перспективы и последствия
На основании наблюдаемого таргетинга мы полагаем, что APT33 занимается стратегическим шпионажем, нацеливаясь на географически разнородные организации в различных отраслях.В частности, нападение на организации в аэрокосмическом и энергетическом секторах указывает на то, что группа угроз, вероятно, ищет стратегические разведданные, способные принести пользу правительству или военному спонсору. Внимание APT33 к авиации может указывать на желание группы получить представление о возможностях региональной военной авиации, чтобы расширить авиационные возможности Ирана или поддержать принятие Ираном военных и стратегических решений. Их нацеливание на несколько холдинговых компаний и организаций в энергетическом секторе согласуется с национальными приоритетами Ирана в отношении роста, особенно в том, что касается увеличения нефтехимического производства.Мы ожидаем, что активность APT33 будет по-прежнему охватывать широкий круг целевых организаций и может распространиться на другие регионы и секторы в соответствии с интересами Ирана.
ИспользованиеAPT33 нескольких настраиваемых бэкдоров предполагает, что у них есть доступ к некоторым собственным ресурсам разработки, с помощью которых они могут поддерживать свои операции, а также использовать общедоступные инструменты. Связь с SHAPESHIFT может указывать на то, что APT33 участвует в разрушительных операциях или что они используют инструменты или разработчика совместно с другой базирующейся в Иране группой угроз, которая проводит разрушительные операции.
Приложение
Описание семейств вредоносных программ
Семейство вредоносных программ | Описание | Наличие |
ДРОПШОТ | Dropper, который, как было замечено, сбрасывает и запускает бэкдор TURNEDUP, а также вредоносную программу очистки SHAPESHIFT | Непубличные |
NANOCORE | Общедоступный троян удаленного доступа (RAT), доступный для покупки.Это полнофункциональный бэкдор с фреймворком . | Общественный |
СЕТЬ | Бэкдор, который пытается украсть учетные данные с локального компьютера из различных источников и поддерживает другие стандартные функции бэкдора. | Общественный |
ОБОРОТ | Backdoor, способный загружать и скачивать файлы, создавать обратную оболочку, делать снимки экрана и собирать системную информацию | Непубличные |
Индикаторы компрометации
APT33 доменов, которые, вероятно, используются при первоначальном нацеливании
Домен |
боинг.servehttp [.] com |
alsalam.ddns [.] Net |
ngaaksa.ddns [.] Net |
ngaaksa.sytes [.] Net |
vinnellarabia.myftp [.] Org |
APT33 Домены / IP-адреса, используемые для C2
Домен C2 | ВРЕДОНОСНОЕ ОБЕСПЕЧЕНИЕ |
managehelpdesk [.] com | NANOCORE |
microsoftupdated [.] Com | NANOCORE |
osupd [.] Com | NANOCORE |
mywinnetwork.ddns [.] Net | СЕТЬ |
www.chromup [.] Com | ОБОРОТ |
www.securityupdated [.] com | ОБОРОТ |
googlmail [.] Net | ОБОРОТ |
microsoftupdated [.] Net | ОБОРОТ |
син. Транслирующий [.] Рок | ОБОРОТ |
www.googlmail [.] Net | ОБОРОТ |
Общедоступные инструменты, используемые APT33
MD5 | ВРЕДОНОСНОЕ ОБЕСПЕЧЕНИЕ | Время компиляции (UTC) |
3f5329cf2a829f8840ba6a903f17a1bf | NANOCORE | 11.01.2017 2:20 |
10f58774cd52f71cd4438547c39b1aa7 | NANOCORE | 09.03.2016 23:48 |
663c18cfcedd90a3c91a09478f1e91bc | СЕТЬ | 29.06.2016 13:44 |
6f1d5c57b3b415edc3767b079999dd50 | СЕТЬ | 29.05.2016 14:11 |
Хеши MD5 без атрибуции DROPSHOT / SHAPESHIFT
MD5 | ВРЕДОНОСНОЕ ОБЕСПЕЧЕНИЕ | Время компиляции (UTC) |
0ccc9ec82f1d44c243329014b82d3125 | ДРОПШОТ (падает SHAPESHIFT | н / д — с временной отметкой |
fb21f3cea1aa051ba2a45e75d46b98b8 | ДРОПШОТ | н / д — с временной отметкой |
3e8a4d654d5baa99f8913d8e2bd8a184 | ПЕРЕМЕЩЕНИЕ ФОРМЫ | 14.11.2016 21:16:40 |
6b41980aa6966dda6c3f68aeeb9ae2e0 | ПЕРЕМЕЩЕНИЕ ФОРМЫ | 14.11.2016 21:16:40 |
APT33 Хеш MD5 вредоносного ПО
MD5 | ВРЕДОНОСНОЕ ОБЕСПЕЧЕНИЕ | Время компиляции (UTC) |
8e67f4c98754a2373a49eaf53425d79a | DROPSHOT (капли TURNEDUP) | 19.10.2016 14:26 |
c57c5529d91cffef3ec8dadf61c5ffb2 | ОБОРОТ | 1/6 2014 11:01 |
c02689449a4ce73ec79a52595ab590f6 | ОБОРОТ | 18.09.2016 10:50 |
59d0d27360c9534d555968 eb3ef | ОБОРОТ | 08.03.2016 12:34 |
59d0d27360c9534d555968 eb3ef | ОБОРОТ | 08.03.2016 12:34 |
797bc06d3e0f58 | ОБОРОТ | 12.03.2015 5:59 |
8e6d5ef3f6912a7c49f8eb6a71e18ee2 | ОБОРОТ | 12.03.2015 5:59 |
32a9a9aa9a81be6186937b99e04ad4be | ОБОРОТ | 12.03.2015 5:59 |
a272326cb5f0b73eb9a42c9e629a0fd8 | ОБОРОТ | 09.03.2015 16:56 |
a813dd6b81db331f10efaf1173f1da5d | ОБОРОТ | 09.03.2015 16:56 |
de9e3b4124292b4fba0c5284155fa317 | ОБОРОТ | 09.03.2015 16:56 |
a272326cb5f0b73eb9a42c9e629a0fd8 | ОБОРОТ | 09.03.2015 16:56 |
b3d73364995815d78f6d66101e718837 | ОБОРОТ | 1/6 2014 11:01 |
de7a44518d67b13cda535474ffedf36b | ОБОРОТ | 1/6 2014 11:01 |
b5f69841bf4e0e96a99aa811b52d0e90 | ОБОРОТ | 1/6 2014 11:01 |
a2af2e6bbb6551ddf09f0a7204b5952e | ОБОРОТ | 1/6 2014 11:01 |
b189b21aafd206625e6c4e4a42c8ba76 | ОБОРОТ | 1/6 2014 11:01 |
aa63b16b6bf326dd3b4e82ffad4c1338 | ОБОРОТ | 1/6 2014 11:01 |
c55b002ae9db4dbb2992f7ef0fbc86cb | ОБОРОТ | 1/6 2014 11:01 |
c2d472bdb8b98ed83cc8ded68a79c425 | ОБОРОТ | 1/6 2014 11:01 |
c6f2f502ad268248d6c0087a2538cad0 | ОБОРОТ | 1/6 2014 11:01 |
c66422d3a9ebe5f323d29a7be76bc57a | ОБОРОТ | 1/6 2014 11:01 |
ae47d53fe8ced620e9969cea58e87d9a | ОБОРОТ | 1/6 2014 11:01 |
b12faab84e2140dfa5852411c91a3474 | ОБОРОТ | 1/6 2014 11:01 |
c2fbb3ac76b0839e0a744ad8bdddba0e | ОБОРОТ | 1/6 2014 11:01 |
a80c7ce33769ada7b4d56733d02afbe5 | ОБОРОТ | 1/6 2014 11:01 |
6a0f07e322d3b7bc88e2468f9e4b861b | ОБОРОТ | 1/6 2014 11:01 |
b681aa600be5e3ca550d4ff4c884dc3d | ОБОРОТ | 1/6 2014 11:01 |
ae870c46f3b8f44e576ffa1528c3ea37 | ОБОРОТ | 1/6 2014 11:01 |
bbdd6bb2e8827e64cd1a440e05c0d537 | ОБОРОТ | 1/6 2014 11:01 |
0753857710dcf96b950e07df9cdf7911 | ОБОРОТ | 10.04.2013 10:43 |
d01781f1246fd1b64e09170bd6600fe1 | ОБОРОТ | 10.04.2013 10:43 |
1381148d543c0de493b13ba8ca17c14f | ОБОРОТ | 10.04.2013 10:43 |
Расширенные группы постоянных угроз | Mandiant
APT39
Предполагаемое приписывание: Иран
Целевые секторы: хотя APT39 имеет глобальный масштаб нацеливания, его деятельность сосредоточена на Ближнем Востоке.APT39 уделяет приоритетное внимание телекоммуникационному сектору с дополнительным нацеливанием на индустрию туризма и ИТ-компании, которые его поддерживают, а также на отрасль высоких технологий.
Обзор: сфокусированность группы на телекоммуникациях и туристических отраслях предполагает намерение выполнять операции по мониторингу, отслеживанию или наблюдению в отношении определенных лиц, собирать собственные данные или данные о клиентах в коммерческих или операционных целях, которые удовлетворяют стратегическим требованиям, связанным с национальными приоритетами, или создавать дополнительные доступы и векторы для облегчения будущих кампаний.Нацеливание на государственные органы предполагает потенциальное вторичное намерение собрать геополитические данные, которые могут помочь в принятии решений национальным государством.
Связанное вредоносное ПО: группа в основном использует бэкдоры SEAWEED и CACHEMONEY, а также конкретный вариант бэкдора POWBAT.
Векторы атак: для первоначального взлома Mandiant Intelligence обнаружила, что APT39 использует целевой фишинг с вредоносными вложениями и / или гиперссылками, что обычно приводит к заражению POWBAT.В некоторых случаях также использовались ранее скомпрометированные учетные записи электронной почты, что могло привести к злоупотреблению внутренними доверительными отношениями и увеличению шансов на успешную атаку. APT39 часто регистрирует и использует домены, маскирующиеся под законные веб-службы и организации, имеющие отношение к намеченной цели. Кроме того, эта группа регулярно выявляла и эксплуатировала уязвимые веб-серверы целевых организаций для установки веб-оболочек, таких как ANTAK и ASPXSPY, и использовала украденные законные учетные данные для взлома ресурсов Outlook Web Access (OWA), обращающихся извне.Мы не обнаружили уязвимостей эксплойта APT39.
Дополнительные ресурсы
APT35
Целевые секторы: США, Западная Европа и Ближний Восток, военный, дипломатический и правительственный персонал, организации в средствах массовой информации, энергетике и обороне, промышленная база, а также машиностроение, бизнес-услуги и телекоммуникации.
Обзор: APT35 (также известная как Newscaster Team) — спонсируемая правительством Ирана группа кибершпионажа, которая проводит долгосрочные ресурсоемкие операции по сбору стратегической разведки.Mandiant Threat Intelligence наблюдала за операциями APT35, начиная с 2014 года. APT35 исторически полагалась на умеренно сложные инструменты, включая общедоступные веб-оболочки и инструменты для тестирования на проникновение, что предполагает относительно зарождающуюся возможность разработки. Однако широта и объем операций APT35, особенно в том, что касается его сложных усилий в области социальной инженерии, вероятно, указывают на то, что группа хорошо обеспечена ресурсами в других областях.
Связанное вредоносное ПО: ASPXSHELLSV, BROKEYOLK, PUPYRAT, TUNNA, MANGOPUNCH, DRUBOT, HOUSEBLEND
Векторы атак: APT35 обычно использует целевой фишинг для первоначальной компрометации организации, часто используя приманки, связанные со здравоохранением, объявлениями о вакансиях, резюме или политиками паролей. .Однако мы также наблюдали, как группа использовала скомпрометированные учетные записи с учетными данными, полученными в результате предыдущих операций, стратегические взломы сети и атаки с использованием паролей против внешних веб-приложений в качестве дополнительных методов для получения начального доступа.
APT34
Предполагаемая атрибуция: Иран
Целевые секторы: Эта группа угроз провела широкое нацеливание в различных отраслях, включая финансовую, государственную, энергетическую, химическую и телекоммуникационную, и в основном сосредоточила свои операции на Ближнем Востоке
Обзор: Мы считают, что APT34 участвует в долгосрочной операции кибершпионажа, в основном сосредоточенной на разведывательных усилиях в интересах иранского национального государства, и действует как минимум с 2014 года.Мы оцениваем, что APT34 работает от имени иранского правительства, основываясь на деталях инфраструктуры, которые содержат ссылки на Иран, использование иранской инфраструктуры и нацеливание, которое соответствует интересам национального государства.
Связанное вредоносное ПО: POWBAT, POWRUNER, BONDUPDATER
Векторы атак: в своей последней кампании APT34 использовал недавнюю уязвимость Microsoft Office CVE-2017-11882 для развертывания POWRUNER и BONDUPDATER.
Дополнительные ресурсы
APT33
Предполагаемое приписывание: Иран
Целевые секторы: Аэрокосмическая промышленность, энергетика
Обзор: APT33 нацелен на организации, охватывающие несколько отраслей, со штаб-квартирой в США.С., Саудовская Аравия и Южная Корея. APT33 проявила особый интерес к организациям авиационного сектора, задействованным как в военном, так и в коммерческом секторе, а также к организациям в энергетическом секторе, связанным с нефтехимическим производством.
Связанное вредоносное ПО: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell
Векторы атак: APT33 отправлял целевые фишинговые письма сотрудникам, чья работа связана с авиационной отраслью. Эти электронные письма содержали тематические приманки для вербовки и ссылки на вредоносное HTML-приложение (.hta) файлы. Файлы .hta содержали описания вакансий и ссылки на законные объявления о вакансиях на популярных веб-сайтах по трудоустройству, которые были бы актуальны для целевых лиц.
Дополнительные ресурсы
APT41
Предполагаемая атрибуция: Китай
Целевые секторы: еще с 2012 года APT41 напрямую нацелился на организации как минимум в 14 странах. -технологий, и исторически включали кражу интеллектуальной собственности.Их вторжения в киберпреступность наиболее очевидны при нацеливании на индустрию видеоигр, включая манипуляции с виртуальными валютами и попытки развертывания программ-вымогателей. Действия APT41 против компаний высшего образования, туристических услуг и новостных / медийных компаний указывают на то, что группа также отслеживает людей и ведет наблюдение.
Обзор: APT41 — это многочисленная группа киберугроз, которая осуществляет спонсируемую китайским государством шпионскую деятельность в дополнение к финансово мотивированной деятельности, потенциально неподконтрольной государству.
Связанное вредоносное ПО: APT41 был обнаружен с использованием как минимум 46 различных семейств кода и инструментов.
Векторы атак: APT41 часто использует целевые фишинговые электронные письма с вложениями, такими как скомпилированные файлы HTML (.chm), для первоначальной компрометации своих жертв. Попав в организацию-жертву, APT41 может использовать более сложные TTP и развертывать дополнительные вредоносные программы. Например, в кампании, которая длилась почти год, APT41 взломал сотни систем и использовал около 150 уникальных вредоносных программ, включая бэкдоры, средства кражи учетных данных, клавиатурные шпионы и руткиты.APT41 также развернул руткиты и буткиты с основной загрузочной записью (MBR) в ограниченном объеме, чтобы скрыть свои вредоносные программы и поддерживать постоянство в некоторых системах-жертвах.
Дополнительные ресурсы
APT40
Предполагаемая атрибуция: Китай
Целевые секторы: APT40 — китайская кибершпионажная группа, которая обычно нацелена на страны, стратегически важные для инициативы «Пояс и путь». Хотя группа нацелена на глобальные организации, особенно на инженерные и оборонные, она также исторически проводила кампании против региональных организаций в таких областях, как Юго-Восточная Азия.По крайней мере, с января 2013 года группа проводила кампании против целого ряда вертикалей, включая морские цели, оборону, авиацию, химическую промышленность, исследования / образование, правительство и технологические организации.
Обзор: Mandiant Intelligence считает, что операции APT40 являются кибер-аналогом усилий Китая по модернизации своего военно-морского потенциала; это также проявляется в нацеливании на широкомасштабные исследовательские проекты в университетах и получении проектов для морского оборудования и транспортных средств.Операции группы, как правило, нацелены на проекты, спонсируемые государством, и собирают большие объемы информации, относящейся к таким проектам, включая предложения, встречи, финансовые данные, информацию о доставке, планы и чертежи, а также необработанные данные.
Связанное вредоносное ПО. Было обнаружено, что APT40 использует не менее 51 различных семейств кода. Из них 37 закрытых. По крайней мере, семь из этих закрытых инструментов (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU и WIDETONE) используются другими предполагаемыми операторами связи с Китаем.
Векторы атак: APT40 обычно выдает себя за известного человека, который, вероятно, может заинтересовать цель рассылать электронные письма с целевым фишингом. Это включает в себя притворство журналиста, представителя отраслевого издания или представителя соответствующей военной или неправительственной организации (НПО). В некоторых случаях группа использовала ранее взломанные адреса электронной почты для рассылки целевых фишинговых писем.
Дополнительные ресурсы
APT31
Предполагаемая атрибуция: Китай
Целевые секторы: несколько, включая правительство, международные финансовые организации, аэрокосмические и оборонные организации, а также высокие технологии, строительство и инжиниринг, телекоммуникации, СМИ, и страхование.
Обзор: APT31 — это кибершпионаж, связанный с Китаем, целью которого является получение информации, которая может предоставить китайскому правительству и государственным предприятиям политические, экономические и военные преимущества.
Связанное вредоносное ПО: SOGU, LUCKYBIRD, SLOWGYRO, DUCKFAT
Векторы атак: APT31 использовал уязвимости в таких приложениях, как Java и Adobe Flash, для компрометации среды жертвы.
APT30
Предполагаемая атрибуция: Китай
Целевые секторы: Члены Ассоциации государств Юго-Восточной Азии (АСЕАН)
Обзор: APT30 известен не только за устойчивую активность в течение длительного периода времени, но и за успешное изменение и адаптацию исходного кода для поддержки те же инструменты, тактика и инфраструктура, по крайней мере, с 2005 года.Факты показывают, что группа уделяет приоритетное внимание целям, скорее всего, работает посменно в совместной среде и создает вредоносное ПО на основе согласованного плана разработки. Группа имеет возможность заражать сети с воздушными зазорами с 2005 года.
Связанное вредоносное ПО: SHIPSHAPE, SPACESHIP, FLASHFLOOD
Векторы атак: APT30 использует набор инструментов, который включает загрузчики, бэкдоры, центральный контроллер и несколько компонентов, предназначенных для заражать съемные диски и пересекать сети с воздушными зазорами для кражи данных.APT30 часто регистрирует свои собственные DNS-домены для вредоносных действий CnC.
APT27
Предполагаемая атрибуция: Китай
Целевые секторы: APT27 нацелен на несколько организаций со штаб-квартирами по всему миру, включая Северную и Южную Америку, Европу и Ближний Восток. Эти организации относятся к разным отраслям, включая бизнес-услуги, высокие технологии, правительство и энергетику; тем не менее, значительное их количество работает в аэрокосмической, транспортной и туристической отраслях.
Обзор: APT27 участвует в кибероперациях, целью которых является кража интеллектуальной собственности, обычно сосредотачиваясь на данных и проектах, которые делают конкретную организацию конкурентоспособной в своей области.
Связанное вредоносное ПО: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT
Векторы атаки: APT27 часто использует целевой фишинг в качестве начального метода взлома. Злоумышленники APT27 не известны тем, что используют оригинальные эксплойты нулевого дня, но они могут использовать эти эксплойты после того, как они станут общедоступными.По крайней мере, в одном случае субъекты APT27 использовали скомпрометированную учетную запись в одной организации-жертве, чтобы отправить целевое фишинговое письмо другим предполагаемым жертвам в аналогичных отраслях. Кроме того, APT27 может скомпрометировать уязвимые веб-приложения, чтобы получить первоначальную точку опоры.
APT26
Предполагаемая атрибуция: Китай
Целевые секторы: аэрокосмическая, оборонная и энергетическая отрасли и другие.
Обзор: APT26 участвует в кибероперациях, целью которых является кража интеллектуальной собственности, обычно сосредотачиваясь на данных и проектах, которые делают конкретную организацию конкурентоспособной в своей области.
Связанное вредоносное ПО: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON
Векторы атак: группа часто использует стратегические веб-взломы, чтобы получить доступ к целевым сетям и настраиваемым бэкдорам, когда они попадают в среду жертвы.
APT25
AKA: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor
Предполагаемая атрибуция: Китай
Целевые секторы: военно-промышленная база, СМИ, финансовые услуги и транспортный сектор в США.С. и Европа.
Обзор: APT25 участвует в кибероперациях, целью которых является кража данных.
Связанное вредоносное ПО: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH
Векторы атак: APT25 исторически использовал целевой фишинг в своих операциях, включая сообщения, содержащие вредоносные вложения и вредоносные гиперссылки. Злоумышленники APT25 обычно не используют
эксплойтов нулевого дня, но могут использовать эти эксплойты после того, как они станут общедоступными.
APT24
AKA: PittyTiger
Предполагаемая атрибуция: Китай
Целевые секторы: APT24 нацелен на широкий спектр отраслей, включая государственные организации, здравоохранение, строительство и проектирование, горнодобывающую, некоммерческую и телекоммуникационную отрасли.
Обзор: известно, что эта группа нацелена на организации со штаб-квартирами в странах, включая США и Тайвань. APT24 исторически использовал утилиту архивирования RAR для шифрования и сжатия украденных данных перед их передачей из сети.Кража данных, полученных от этого субъекта, в основном была связана с документами, имеющими политическое значение, что свидетельствует о его намерении отслеживать позиции различных национальных государств по вопросам, применимым к продолжающемуся территориальному спору или спору о суверенитете Китая.
Связанное вредоносное ПО: PITTYTIGER, ENFAL, TAIDOOR
Векторы атак: APT24 использовал фишинговые электронные письма, в которых в качестве приманки использовались темы военной, возобновляемой энергетики или бизнес-стратегии. Кроме того, APT24 участвует в кибероперациях, целью которых является кража интеллектуальной собственности, обычно сосредотачиваясь на данных и проектах, которые делают конкретную организацию конкурентоспособной в своей области.
APT23
Предполагаемая атрибуция: Китай
Целевые секторы: СМИ и правительство в США и Филиппинах
Обзор: APT23 украл информацию, имеющую политическое и военное значение, а не интеллектуальную собственность. Это говорит о том, что APT23 может осуществлять кражу данных для поддержки более традиционных шпионских операций.
Связанное вредоносное ПО: NONGMIN
Векторы атак: APT23 использовал целевые фишинговые сообщения для компрометации сетей жертв, включая фишинговые приманки, связанные с образованием.Известно, что акторы APT23 не используют эксплойты нулевого дня, но эта группа использовала эти эксплойты после того, как они были обнародованы.
APT22
AKA: Barista
Предполагаемая атрибуция: Китай
Целевые секторы: широкий набор политических, военных и экономических субъектов в Восточной Азии, Европе и США
Обзор: мы считаем, что APT22 имеет nexus to China и работает по крайней мере с начала 2014 года, осуществляя вторжения и атаки на организации государственного и частного секторов, включая диссидентов.
Связанное вредоносное ПО: PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF, LOGJAM
Векторы атак: злоумышленники APT22 использовали стратегические веб-компромиссы для пассивного использования представляющих интерес целей. Актеры APT22 также определили уязвимые общедоступные веб-серверы в сетях жертв и загрузили веб-оболочки, чтобы получить доступ к сети жертвы.
APT21
AKA: Zhenbao
Предполагаемая атрибуция: Китай
Целевые секторы: Правительство
Обзор: APT21 использует стратегические русскоязычные приложения, связанные с проблемами национальной безопасности в приманке.Исторически контент социальной инженерии указывает на попытку кибершпионажа получить несанкционированный доступ к конфиденциальной информации, касающейся государственной безопасности в России. Анализ методов APT21 показывает, что еще одна из областей их интересов — диссидентские группы, которые стремятся к большей автономии или независимости от Китая, например, из Тибета или Синьцзяна.
Связанное вредоносное ПО: SOGU, TEMPFUN, Gh0st, TRAVELNET, HOMEUNIX, ZEROTWO
Векторы атак: APT21 использует целевые фишинговые сообщения электронной почты с вредоносными вложениями, ссылками на вредоносные файлы или веб-страницы.Они также использовали стратегические веб-компромиссы (SWC) для нацеливания на потенциальных жертв. APT21 часто использует два бэкдора, известных как TRAVELNET и TEMPFUN. Примечательно, что APT21 обычно в основном использует настраиваемые бэкдоры, редко используя общедоступные инструменты.
APT20
AKA: Twivy
Предполагаемая атрибуция: Китай
Целевые секторы: строительство и проектирование, здравоохранение, некоммерческие организации, оборонно-промышленная база и химические научно-исследовательские и производственные компании.
Обзор: APT20 участвует в кибероперациях, целью которых является кража данных. APT20 занимается кражей интеллектуальной собственности, но также проявляет заинтересованность в краже данных или мониторинге деятельности лиц с определенными политическими интересами. Основываясь на имеющихся данных, мы оцениваем, что это группа фрилансеров, спонсируемая некоторыми национальными государствами, расположенная в Китае.
Связанное вредоносное ПО: QIAC, SOGU, Gh0st, ZXSHELL, Poison Ivy, BEACON, HOMEUNIX, STEW
Векторы атак: использование APT20 стратегических веб-компромиссов дает представление о втором наборе вероятных целей.Многие SWC APT20 размещены на веб-сайтах (включая веб-сайты на китайском языке), посвященных таким вопросам, как демократия, права человека, свобода прессы, этнические меньшинства в Китае и другие вопросы.
APT19
Также известна как: Codoso Team
Предполагаемая атрибуция: Китай
Целевые секторы: Юридические и инвестиционные
Обзор: Группа, вероятно, состоящая из фрилансеров при некоторой степени спонсорства со стороны правительства Китая.
Связанное вредоносное ПО: BEACON, COBALTSTRIKE
Векторы атак: в 2017 году APT19 использовал три различных метода для попытки взлома целей. В начале мая фишинговые приманки использовали RTF-вложения, которые использовали уязвимость Microsoft Windows, описанную в CVE 2017-0199. К концу мая APT19 перешел на использование документов Microsoft Excel (XLSM) с поддержкой макросов. В самых последних версиях APT19 добавлял обход приложений для внесения в документы XLSM в белый список. По крайней мере, одна наблюдаемая фишинговая приманка доставила полезную нагрузку Cobalt Strike.
APT18
Также известен как: Wekby
Предполагаемая атрибуция: Китай
Целевые секторы: аэрокосмическая и оборонная промышленность, строительство и инженерия, образование, здравоохранение и биотехнологии, высокие технологии, телекоммуникации, транспорт
Обзор: очень мало был обнародован об этой группе.
Связанное вредоносное ПО: Gh0st RAT
Векторы атак: часто разрабатываемые или адаптируемые эксплойты нулевого дня для операций, которые, вероятно, планировались заранее.Использованы данные из утечки Hacking Team, которая продемонстрировала, как группа может перемещать ресурсы (например, выбирать цели, готовить инфраструктуру, создавать сообщения, обновлять инструменты), чтобы воспользоваться неожиданными возможностями, такими как недавно обнаруженные эксплойты.
Дополнительные ресурсы: Блог — демонстрация суеты, китайские APT-группы быстро используют уязвимость нулевого дня (CVE-2015-5119) После утечки хакерской команды
APT17
Также известен как: Tailgator Team, заместитель пса
Подозреваемый атрибуция: Китай
Целевые секторы: U.Правительство США, международные юридические фирмы и компании, занимающиеся информационными технологиями.
Обзор: Осуществляет сетевое вторжение против целевых организаций.
Связанное вредоносное ПО: BLACKCOFFEE
Векторы атак: группа угроз воспользовалась возможностью создавать профили и публиковать сообщения на форумах, чтобы встроить закодированный CnC для использования с вариантом используемого вредоносного ПО. Этот метод может затруднить для специалистов по сетевой безопасности определение истинного местоположения CnC и позволить инфраструктуре CnC оставаться активной в течение более длительного периода.
APT16
Предполагаемая атрибуция: Китай
Целевые секторы: японские и тайваньские организации в сфере высоких технологий, государственных услуг, СМИ и финансовых услуг
Обзор: базирующаяся в Китае группа, занимающаяся политическими и журналистскими вопросами Тайваня.
Связанное вредоносное ПО: IRONHALO, ELMER
Векторы атак: электронные письма с использованием спарфишинга, отправленные тайваньским СМИ и на адреса электронной почты. Документы по приманке содержали инструкции по регистрации и последующему размещению товаров на тайваньском веб-сайте аукциона.
APT15
Предполагаемая атрибуция: Китай
Целевые секторы: Глобальные цели в торговом, экономическом и финансовом, энергетическом и военном секторах в поддержку интересов правительства Китая.
Обзор: APT15 нацелен на организации, штаб-квартиры которых расположены в нескольких местах, включая ряд европейских стран, США и Южную Африку. Операторы APT15 совместно используют ресурсы, включая бэкдоры и инфраструктуру, с другими китайскими APT.
Связанное вредоносное ПО: ENFAL, BALDEAGLE, NOISEMAKER, MIRAGE
Векторы атак: APT15 обычно использует хорошо разработанные электронные письма с целевым фишингом для первоначального взлома глобальных целей в различных секторах, представляющих интерес для правительства Китая. Примечательно, что APT15 использует бэкдоры и инфраструктуру, которые не являются уникальными для группы, что затрудняет атрибуцию.
APT14
Предполагаемая принадлежность: Китай
Целевые секторы: правительство, телекоммуникации, строительство и инжиниринг.
Обзор: APT14 участвует в кибероперациях, целью которых является кража данных, с возможным упором на военное и морское оборудование, операции и политику. Мы полагаем, что украденные данные, особенно спецификации оборудования для шифрования и спутниковой связи, могут быть использованы для усиления военных операций, таких как перехват сигналов или иное создание помех военным сетям спутниковой связи.
Связанное вредоносное ПО: Gh0st, POISONIVY, CLUBSEAT, GROOVY
Векторы атак: злоумышленники APT14 не склонны использовать эксплойты нулевого дня, но могут использовать эти эксплойты после того, как они станут общедоступными.Они могут использовать настраиваемую почтовую программу SMTP для отправки своих целевых фишинговых сообщений. Фишинговые сообщения APT14 часто создаются так, чтобы они исходили от доверенных организаций.
APT12
Также известен как: Calc Team
Предполагаемая атрибуция: Китай
Целевые секторы: журналисты, правительство, оборонно-промышленная база
Обзор: APT12 считается кибершпионажной группой, имеющей связи с китайцами Народно-освободительная армия.Цели APT12 соответствуют более крупным целям Китайской Народной Республики (КНР). Вторжения и кампании, проводимые этой группой, соответствуют целям и интересам КНР на Тайване.
Связанное вредоносное ПО: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT
Векторы атак: Mandiant заметил, что APT12 доставляет эти эксплойты через фишинговые электронные письма с действительных, но взломанных учетных записей. Основываясь на прошлой активности APT12, мы ожидаем, что группа угроз продолжит использовать фишинг в качестве метода доставки вредоносного ПО.
Дополнительные ресурсы
APT10
Также известен как: Menupass Team
Предполагаемая атрибуция: Китай
Целевые секторы: строительные и инженерные, аэрокосмические и телекоммуникационные компании, а также правительства в США, Европе и Японии
Обзор: APT10 — это китайская группа кибершпионажа, которую Mandiant отслеживает с 2009 года. Исторически они нацелены на строительные и инженерные, аэрокосмические и телекоммуникационные компании, а также на правительства США, Европы и Японии.Мы считаем, что атаки на эти отрасли были направлены на поддержку целей национальной безопасности Китая, включая получение ценной военной и разведывательной информации, а также кражу конфиденциальных бизнес-данных для поддержки китайских корпораций.
Связанное вредоносное ПО: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT
Векторы атак. Эта недавняя активность APT10 включала как традиционный целевой фишинг, так и доступ к сетям жертвы через поставщиков управляемых услуг. (Подробнее о заражении через поставщиков услуг см. M-Trends 2016).APT10-фишинг-фишинг был относительно простым, используя файлы .lnk в архивах, файлы с двойными расширениями (например, [Redcted] _Group_Meeting_Document_20170222_doc_.exe), а в некоторых случаях просто идентично названные ложные документы и вредоносные программы запуска в одном архиве. Помимо целевого фишинга, Mandiant Threat Intelligence обнаружила, что APT10 получает доступ к жертвам через глобальных поставщиков услуг.
Дополнительные ресурсы
Дополнительные ресурсы
APT9
Предполагаемая атрибуция: на основании имеющихся данных мы оцениваем, что это группа фрилансеров, спонсируемая некоторыми национальными государствами, возможно, Китаем.
Целевые секторы: Организации с головными офисами в разных странах и в таких отраслях, как здравоохранение и фармацевтика, строительство и машиностроение, а также аэрокосмическая промышленность и оборона.
Обзор: APT9 участвует в кибероперациях, целью которых является кража данных, обычно сосредотачиваясь на данных и проектах, которые делают конкретную организацию конкурентоспособной в своей области.
Связанное вредоносное ПО: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL
Векторы атак: APT9 исторически был очень активен в фармацевтической и биотехнологической промышленности.Мы наблюдали, как этот субъект использует целевой фишинг, действительные учетные записи, а также удаленные службы для начального доступа. По крайней мере, один раз Mandiant наблюдала APT9 в двух компаниях биотехнологической отрасли и подозревала, что участники APT9 могли получить первоначальный доступ к одной из компаний, используя доверительные отношения между двумя компаниями. APT9 использует широкий спектр бэкдоров, включая общедоступные бэкдоры, а также бэкдоры, которые считаются настраиваемыми, но используются несколькими группами APT.
APT8
Предполагаемая атрибуция: Китай
Целевые секторы: широкий спектр отраслей, включая СМИ и развлечения, строительство и машиностроение, аэрокосмическую и оборонную промышленность.
Обзор: APT8 участвует в кибероперациях, целью которых является кража интеллектуальной собственности, обычно сосредотачиваясь на данных и проектах, которые делают организацию конкурентоспособной в своей области. По нашим оценкам, это группа фрилансеров, расположенная в Китае и пользующаяся спонсорской поддержкой со стороны государства.APT8 нацелена на организации, штаб-квартиры которых находятся во многих странах, включая США, Германию, Великобританию, Индию и Японию.
Связанное вредоносное ПО: HASH, FLYZAP, GOLFPRO, SAFEPUTT
Векторы атак: субъекты APT8 часто используют целевые фишинговые сообщения электронной почты с вредоносными вложениями или ссылками или используют уязвимые веб-серверы, подключенные к Интернету, для компрометации целевых организаций. Кроме того, во время нескольких вторжений злоумышленники APT8 отправляли вредоносные ссылки потенциальным жертвам через чат или программы обмена мгновенными сообщениями.
APT7
Предполагаемая принадлежность: Китай
Целевые секторы: строительство, машиностроение, аэрокосмическая промышленность и военно-промышленная база.
Обзор: APT7 участвует в кибероперациях, целью которых является кража интеллектуальной собственности, обычно сосредотачиваясь на данных и проектах, которые делают организацию конкурентоспособной в своей области. Известно, что эта группа нацелена на организации, штаб-квартиры которых находятся в США и Великобритании.
Связанное вредоносное ПО: DIGDUG, TRACKS
Векторы атак: злоумышленники APT7 использовали доступ к одной организации для проникновения в другую организацию, принадлежащую той же материнской компании.Это форма бокового движения, но в данном случае это также был первоначальный метод компромисса для второй организации.
APT6
Предполагаемая атрибуция: Китай
Целевые секторы: транспорт, автомобилестроение, строительство и машиностроение, телекоммуникации, электроника, строительство и материалы.
Обзор: APT6 участвует в кибероперациях, целью которых является кража данных, скорее всего, данных и проектов, которые делают организацию конкурентоспособной в своей области.APT6 был нацелен на организации со штаб-квартирами в США и Великобритании.
Связанное вредоносное ПО: BELUGA, EXCHAIN, PUPTENT
Векторы атак: APT6 использует несколько настраиваемых бэкдоров, в том числе используемых другими группами APT, а также уникальных для этой группы.
APT5
Предполагаемая атрибуция: Китай
Целевые секторы: региональные поставщики телекоммуникационных услуг, базирующиеся в Азии сотрудники глобальных телекоммуникационных и технологических компаний, высокотехнологичное производство и военные прикладные технологии в США.С., Европа и Азия.
Обзор: APT5 был активен по крайней мере с 2007 года. APT5 нацелился или взломал организации во многих отраслях, но, похоже, его внимание сосредоточено на телекоммуникационных и технологических компаниях, особенно на информации о спутниковой связи. Еще в 2014 году Mandiant Incident Response обнаружила, что APT5 несанкционированно изменяет код файлов во встроенной операционной системе другой технологической платформы. В 2015 году APT5 взломал телекоммуникационную организацию США, предоставляющую услуги и технологии для частных и государственных организаций.Во время этого вторжения злоумышленники загрузили и изменили некоторые образы маршрутизаторов, относящиеся к сетевым маршрутизаторам компании. Также в это время APT5 украл файлы, связанные с военными технологиями, у одной из оборонных организаций Южной Азии. Наблюдаемые имена файлов предполагают, что актеров интересовали спецификации продуктов, электронные письма, касающиеся технических продуктов, заявки и предложения на закупку, а также документы по беспилотным летательным аппаратам (БПЛА).
Associated вредоносное: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, Хапписед, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, фундук, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, крышку от HIREDHELP, NEDDYHORSE, Pitchfork , BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, группа угроз Poison Ivy состоит из
векторов угроз:
. подгруппы, часто с отличной тактикой и инфраструктурой.Группа использует вредоносное ПО с возможностью кейлоггинга специально для атак на корпоративные сети, сотрудников и руководителей телекоммуникационных компаний. APT5 проявила значительный интерес к компрометации сетевых устройств и манипулированию базовым программным обеспечением, которое поддерживает эти устройства.
APT4
Описание:
Также известен как: Maverick Panda, Sykipot Group, Wisp
Предполагаемая атрибуция: Китай
Целевые секторы: аэрокосмическая и оборонная промышленность, промышленное строительство, электроника, автомобилестроение, правительство, телекоммуникации и транспорт.
Обзор: APT4, похоже, нацелен на оборонно-промышленную базу (DIB) с большей частотой, чем другие коммерческие организации. Однако история целевых вторжений APT4 обширна.
Связанное вредоносное ПО: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO
Векторы атак: субъекты APT4 часто используют целевые фишинговые сообщения с использованием тем правительства США, Министерства обороны или оборонных промышленных баз. Субъекты APT4 могут перепрофилировать действительный контент от правительства или США.Веб-сайты S. DoD в их телах сообщений, чтобы придать им легитимность.
APT3
Также известен как: UPS Team
Предполагаемая атрибуция: Китай
Целевые секторы: аэрокосмическая и оборонная промышленность, строительство и инженерное дело, высокие технологии, телекоммуникации, транспорт
Обзор: базирующаяся в Китае группа угроз Mandiant отслеживает поскольку APT3 является одной из наиболее сложных групп угроз, которые отслеживает Mandiant Threat Intelligence, и у них есть история использования браузерных эксплойтов в качестве уязвимостей нулевого дня (например.g., Internet Explorer, Firefox и Adobe Flash Player). После успешного использования целевого хоста эта группа быстро сбросит учетные данные, переместится на дополнительные хосты и установит собственные бэкдоры. Инфраструктуру управления и контроля (CnC) APT3 сложно отследить, поскольку кампании практически не пересекаются.
Связанное вредоносное ПО: SHOTPUT, COOKIECUTTER, SOGU
Векторы атак: фишинговые электронные письма, используемые APT3, обычно носят общий характер и почти кажутся спамом.Атаки использовали незащищенную уязвимость в способе, которым Adobe Flash Player анализирует файлы Flash Video (FLV). Эксплойт использует распространенные методы искажения векторов для обхода рандомизации адресного пространства (ASLR) и использует возвратно-ориентированное программирование (ROP) для обхода предотвращения выполнения данных (DEP). Изящный трюк с их техникой ROP упрощает использование и позволяет избежать некоторых методов обнаружения ROP. Шелл-код хранится в упакованном файле эксплойта Adobe Flash Player вместе с ключом, используемым для его расшифровки.Полезная нагрузка кодируется xor и скрывается внутри изображения.
Дополнительные ресурсы
Дополнительные ресурсы
APT2
Предполагаемая принадлежность: Китай
Целевые секторы: военная и аэрокосмическая промышленность.
Обзор: эта группа впервые наблюдалась в 2010 году. APT2 участвует в кибероперациях, целью которых является кража интеллектуальной собственности, обычно фокусируясь на данных и проектах, которые делают организацию конкурентоспособной в своей области
Связанное вредоносное ПО: MOOSE, WARP
Векторы атак: рассылки спарфишинга с использованием CVE-2012-0158.
APT1
Также известен как: Подразделение 61398, Комментирующая команда
Предполагаемая принадлежность: 3-й департамент Генерального штаба Народно-освободительной армии Китая (НОАК) (总参 三 部 二 局), который наиболее известен своими Обозначение воинской части на обложке (MUCD) как часть 61398 (61398 部队).
Целевые секторы: информационные технологии, аэрокосмическая промышленность, государственное управление, спутники и телекоммуникации, научные исследования и консалтинг, энергетика, транспорт, строительство и производство, инженерные услуги, высокотехнологичная электроника, международные организации, юридические услуги СМИ, реклама и развлечения, навигация , Химическая промышленность, Финансовые услуги, Продовольствие и сельское хозяйство, Здравоохранение, Металлургия и горнодобывающая промышленность, Образование
Обзор: APT1 систематически похищал сотни терабайт данных как минимум у 141 организации и продемонстрировал способность и намерение воровать данные у десятков организаций одновременно .Группа сосредоточена на взломе организаций в широком спектре отраслей в англоязычных странах. Размер инфраструктуры APT1 предполагает наличие крупной организации с десятками, но потенциально сотнями операторов-людей.
Связанное вредоносное ПО: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.25 Наиболее распространенный метод атак
векторов атаки:
. целевой фишинг.Электронные письма с целевым фишингом содержат либо вредоносное вложение, либо гиперссылку на вредоносный файл. Строка темы и текст в теле письма обычно имеют отношение к получателю. APT1 также создает учетные записи веб-почты, используя имена реальных людей. Хотя злоумышленники APT1 иногда используют общедоступные бэкдоры, такие как Poison Ivy и Gh0st RAT, в подавляющем большинстве случаев они используют то, что кажется их собственными бэкдорами. На протяжении всего своего пребывания в сети (что может длиться годами) APT1 обычно устанавливает новые бэкдоры, поскольку они требуют больше систем в среде.Затем, если один бэкдор обнаружен и удален, у них все еще есть другие бэкдоры, которые они могут использовать. Обычно мы обнаруживаем несколько семейств бэкдоров APT1, разбросанных по сети жертвы, когда APT1 присутствует более нескольких недель.
APT38
Предполагаемая атрибуция: Северная Корея
Целевые секторы: финансовые учреждения по всему миру
Обзор: наш анализ поддерживаемой северокорейским режимом группы угроз, которую мы называем APT38, показывает, что они несут ответственность за проведение крупнейших наблюдали кибер-ограбления.Хотя APT38 использует ресурсы для разработки вредоносных программ и спонсирует государство Северной Кореи с группой, которую сообщество по безопасности называет «Lazarus», мы считаем, что финансовая мотивация APT38, уникальный набор инструментов, а также тактика, методы и процедуры (ДТС) достаточно различимы для них. отслеживаться отдельно от другой северокорейской киберактивности.
Связанное вредоносное ПО: эта большая и многочисленная группа использует множество специализированных семейств вредоносных программ, включая бэкдоры, туннелирующие программы, обработчики данных и разрушительное вредоносное ПО, для кражи миллионов долларов у финансовых учреждений и вывода из строя сетей жертв.
Векторы атак: APT38 провела операции в более чем 16 организациях как минимум в 11 странах. Эта группа осторожна, просчитана и продемонстрировала желание поддерживать доступ к среде жертвы столько времени, сколько необходимо для понимания структуры сети, необходимых разрешений и системных технологий для достижения своих целей. APT38 уникален тем, что они не боятся агрессивно уничтожать улики или сети жертв в рамках своей деятельности.
Дополнительные ресурсы
APT37
Предполагаемая атрибуция: Северная Корея
Целевые секторы: в первую очередь Южная Корея — а также Япония, Вьетнам и Ближний Восток — в различных отраслях промышленности, включая химическую промышленность, электронику, производство, аэрокосмическую промышленность, автомобилестроение и здравоохранение.
Обзор: Наш анализ недавней активности APT37 показывает, что операции группы расширяются по масштабам и изощренности, с набором инструментов, который включает доступ к уязвимостям нулевого дня и вредоносным программам-очистителям. Мы с высокой степенью уверенности оцениваем, что эта деятельность осуществляется от имени правительства Северной Кореи с учетом артефактов разработки вредоносных программ и нацеливания, что соответствует интересам государства Северной Кореи. Mandiant Threat Intelligence считает, что APT37 связан с деятельностью, о которой публично сообщается как Scarcruft и Group123.
Связанное вредоносное ПО: разнообразный набор вредоносных программ для первоначального вторжения и проникновения. Помимо специального вредоносного ПО, используемого в целях шпионажа, APT37 также имеет доступ к разрушительному вредоносному ПО.
Векторы атак: тактика социальной инженерии, специально разработанная для желаемых целей, стратегические взломы сети, типичные для целевых операций кибершпионажа, и использование торрент-сайтов для обмена файлами для более неизбирательного распространения вредоносных программ. Частая эксплуатация уязвимостей в текстовом редакторе Hangul (HWP), а также в Adobe Flash.Группа продемонстрировала доступ к уязвимостям нулевого дня (CVE-2018-0802) и способность использовать их в своих операциях.
Дополнительные ресурсы
APT28
Также известен как: Царская команда
Предполагаемое имя: Правительство России
Целевые секторы: Кавказ, особенно Грузия, страны Восточной Европы и вооруженные силы, Организация Североатлантического договора (НАТО) и другие европейские организации безопасности и оборонные фирмы
Обзор: APT28 — это опытная команда разработчиков и операторов, собирающая разведывательную информацию по оборонным и геополитическим вопросам, которая будет полезна только правительству.Эта APT-группа собирает образцы вредоносных программ с настройками на русском языке в рабочее время (с 8:00 до 18:00) в соответствии с часовыми поясами крупных городов России, включая Москву и Санкт-Петербург. Это говорит о том, что APT28 получает прямые текущие финансовые и другие ресурсы от хорошо зарекомендовавшей себя организации, скорее всего, от правительства России.
Связанное вредоносное ПО: CHOPSTICK, SOURFACE
Векторы атак: Инструменты, обычно используемые APT28, включают загрузчик SOURFACE, его бэкдор второго уровня EVILTOSS и модульное семейство имплантатов, получившее название CHOPSTICK.APT28 использует шифрование RSA для защиты файлов и украденной информации, перемещаемой из сети жертвы в контроллер. С 2007 года он также вносил постепенные и систематические изменения в загрузчик SOURFACE и окружающую его экосистему, что свидетельствует о давних и целенаправленных усилиях по разработке.
Дополнительные ресурсы
APT32
Также известен как: OceanLotus Group
Предполагаемая атрибуция: Вьетнам
Целевые секторы: Иностранные компании, инвестирующие в производство, потребительские товары, консалтинг и гостиничный сектор Вьетнама
Обзор: недавняя деятельность, направленная на частные интересы во Вьетнаме, предполагает, что APT32 представляет угрозу для компаний, ведущих бизнес, производство или готовящихся инвестировать в страну.Хотя конкретная мотивация этой деятельности остается непонятной, она может в конечном итоге подорвать конкурентное преимущество целевых организаций.
Связанное вредоносное ПО: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO
Векторы атак: субъекты APT32 используют файлы ActiveMime, которые используют методы социальной инженерии, чтобы побудить жертву включить макросы. После выполнения инициализированный файл обычно загружает несколько вредоносных полезных данных с удаленного сервера. Актеры APT32 доставляют вредоносные вложения через целевые фишинговые электронные письма.Свидетельства показали, что некоторые из них могли быть отправлены через Gmail.
Внимательный взгляд на печально известную группу злоумышленников APT33, которая всего за два года поразила более 200 компаний | Cyware Alerts
- Группа злоумышленников Holmium действует по крайней мере с 2013 года.
- Они нацелены на фирмы, расположенные в США, Саудовской Аравии и Южной Корее.
В своем недавнем отчете Microsoft сообщила, что печально известная киберпреступная группа APT33, также известная как Holmium или Magnallium, за последние два года украла данные около 200 компаний.Эти иранские хакеры проникли в системы, предприятия и правительства и нанесли ущерб в сотни миллионов долларов. Группа злоумышленников из гольмия действует по крайней мере с 2013 года.
Основные цели — Группа злоумышленников из гольмия нацелена на организации из разных секторов. Они были нацелены на фирмы, специально расположенные в США, Саудовской Аравии и Южной Корее. В последнее время группа сместила акцент на авиационные компании, которые работают как в военном, так и в коммерческом плане.Он также нацелен на организации, связанные с нефтехимическим производством.
Как они работают — APT33 в основном полагается на целевые фишинговые электронные письма для проведения большинства своих атак. Эти электронные письма включают URL-адреса, которые связаны с некоторыми конкретными файлами (например, .hta). Как только пользователь щелкает URL-адрес, он загружает вредоносное ПО, тем самым инициируя процесс заражения.
Киберпреступная группа также использует ряд вредоносных программ в своих различных атаках.Это включает SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE и ALFA Shell. Группа также использует популярные иранские хакерские инструменты и DNS-серверы для своих атак.
Известные атаки
- С середины 2016 до начала 2017 года группа злоумышленников Magnallium взломала американскую фирму в аэрокосмическом секторе и нацелена на бизнес-группу, расположенную в Саудовской Аравии.
- В то же время он также был нацелен на южнокорейскую компанию, занимающуюся нефтепереработкой и нефтехимией.
- В мае 2017 года он нацелен на саудовскую организацию и южнокорейский бизнес с помощью фишинговой кампании по поддельным вакансиям. Хакеры соблазняли жертв вакансиями в нефтехимической компании Саудовской Аравии.
- В одном инциденте APT33 использовала технику самозахвата доменов для нацеливания на различные организации в Саудовской Аравии. Он зарегистрировал несколько доменов, маскирующихся под саудовские авиационные компании и западные организации, и обманом заставлял жертв обеспечивать обучение, техническое обслуживание и поддержку военного и коммерческого флота Саудовской Аравии.Следующие домены маскируются под эти организации: Boeing, Alsalam Aircraft Company, Northrop Grumman Aviation Arabia (NGAAKSA) и Vinnell Arabia, отмечает FireEye.
- Группа также несет ответственность за атаки с использованием вредоносной программы Shamoon для удаления данных в прошлом году. Вредоносная программа использовалась для атак на промышленных игроков на Ближнем Востоке и в Европе.
Итог — Учитывая тип вредоносного ПО и используемые методы атак, эксперты полагают, что группа постепенно расширяет свою деятельность на другие страны.
«Его агрессивное использование инструментов в сочетании с меняющейся геополитикой подчеркивает опасность, которую APT33 представляет для правительств и коммерческих интересов на Ближнем Востоке и во всем мире. «Выявление этой группы и ее разрушительной способности дает организациям возможность проактивно обнаруживать связанные угрозы и бороться с ними», — пояснил FireEye.
Кто такие APT33 и чем они занимаются?
Команда Elfin более известна как APT33 (они также носят другие названия, такие как Refined Kitten, Magnallium и Holmium), и было определено, что ее поддерживает и спонсирует правительство Ирана.APT33 работает с 2013 года.
На кого нацелен APT 33?APT33 проявили интерес к широкому кругу организаций со штаб-квартирами в Саудовской Аравии и Южной Корее, с особым вкусом к целям в авиационном секторе (как военном, так и коммерческом), а также к организациям в энергетическом секторе, связанным с нефтью. и добыча газа. Подоплека выбора цели, похоже, отражает сферы интересов и желаемого расширения иранского правительства.
Известная история атак?С середины 2016 года до начала 2017 года:
APT33 взломал американскую организацию в аэрокосмической промышленности и нацелился на конгломерат, расположенный в Саудовской Аравии и связанный с тем же сектором.
Примерно в то же время предполагаемая атака APT33 была направлена на саудовскую организацию и южнокорейский бизнес-конгломерат с использованием файла, в котором приводились жертвы с вакансиями в нефтегазовой компании Саудовской Аравии.
Каковы их методы и ТТП?Spear phishing:
Недавно использованная методология группы — целевой фишинг, проиллюстрированный, когда тысячи целевых электронных писем были отправлены сотрудникам целевой компании, содержащие ссылки на гнусное приложение HTML (.hta) файлы. Файлы .hta отображают законные объявления о вакансиях на популярных веб-сайтах, адаптированные для конкретной цели. Жертва не знала, что файл также будет содержать встроенный код PowerShell, который загрузит настраиваемый бэкдор.
Маскировка домена:
APT33 зарегистрировали несколько «похожих» доменов, близких к саудовским компаниям и западным партнерствам. Вполне вероятно, что они использовались в вышеупомянутых целевых фишинговых атаках.
Прочие возможности и тактика:
APT33 были идентифицированы как использующие
- DROPSHOT — дроппер, который можно использовать для удаления и запуска других вредоносных программ, в данном случае бэкдора TURNEDUP и вредоносной программы-очистителя SHAPESHIFT.
- Nanocore RAT — общедоступный троян удаленного доступа.
- NetWire — бэкдор, который используется для кражи учетных данных с локального компьютера, он тоже общедоступен.
- TURNEDUP — бэкдор, способный создавать обратные оболочки, делать снимки экрана, собирать системную информацию, а также загружать и скачивать файлы.
Видение злоумышленника позволяет вам защититься от него. Чтобы добиться этого, необходимо передать физическую сеть и ее трафик информации и разведданных, полученных от предыдущих злоумышленников или атак.Эта тактика усиливается за счет объединения данных с открытым исходным кодом (OSINT), полученных данных и расчета моделей поведения, методологий и, в конечном итоге, оптимальных реакций машины и человека для оптимального смягчения текущих и будущих кампаний атак.
Получение интеллекта может быть выполнено с помощью нескольких инструментов и разными способами. Одним из таких способов является использование высокой видимости потоков трафика с помощью зонда сетевого трафика в сочетании с интегрированной системой IDS, которая может идентифицировать вредоносные пакеты и потоки, сохраняя при этом необработанную активность целевых объектов для глубокой криминалистики.Выходные данные этих инструментов могут быть затем переданы на платформу, которая позволяет проводить криминалистическое расследование на уровне пакетов и потоков, которое затем может быть отфильтровано и дополнительно проанализировано для построения схемы атак и даже описания кампаний и возможностей злоумышленников.
Обфусцированные C&C APT33, используемые для узкого нацеливания
Эта статья является частью исследования, посвященного кибератакам в нефтегазовой отрасли. Он дает более полный обзор APT33 и других критических угроз.Полный текст статьи читайте здесь.
Этот блог был первоначально опубликован 13 ноября 2019 г. Обновлено 27 ноября 2019 г. в 23:00 по тихоокеанскому стандартному времени, чтобы добавить новую информацию о домене C&C.
Известно, что группа угроз, которую часто называют APT33, агрессивно нацелена на нефтяную и авиационную промышленность. Об этой группе угроз постоянно сообщалось в течение многих лет, но наши недавние результаты показывают, что группа использовала около дюжины действующих серверов управления и контроля (C&C) для чрезвычайно узкого нацеливания.Группа использует несколько уровней обфускации для запуска этих C&C серверов в целенаправленных кампаниях вредоносных программ против организаций на Ближнем Востоке, в США и Азии.
Мы полагаем, что эти бот-сети, каждая из которых состоит из небольшой группы до десятка зараженных компьютеров, используются для обеспечения устойчивости в сетях избранных целей. Вредоносная программа довольно проста и имеет ограниченные возможности, включая загрузку и запуск дополнительных вредоносных программ. Среди активных заражений в 2019 году — два отдельных местоположения частной американской компании, предлагающей услуги, связанные с национальной безопасностью, жертвы, подключающиеся из университета и колледжа в США.С., жертва, скорее всего, связанная с военными США, и несколько жертв на Ближнем Востоке и в Азии.
APT33 также проводил более агрессивные атаки в последние несколько лет. Например, в течение как минимум двух лет группа использовала частный веб-сайт высокопоставленного европейского политика (члена комитета обороны ее страны) для рассылки целевых фишинговых писем компаниям, входящим в цепочку поставок нефтепродуктов. Цели включали водное сооружение, которое используется U.Армии С. для снабжения питьевой водой одной из своих военных баз.
Эти атаки, вероятно, привели к конкретным заражениям в нефтяной отрасли. Например, осенью 2018 года мы наблюдали связь между британской нефтяной компанией с компьютерными серверами в Великобритании и Индии и сервером управления APT33. Другая европейская нефтяная компания пострадала от заражения вредоносным ПО, связанного с APT33, на одном из своих серверов в Индии в течение как минимум 3 недель в ноябре и декабре 2018 года. В цепочках поставок нефти было несколько других компаний, которые также были скомпрометированы осенью 2018 года.Эти компромиссы указывают на большой риск для компаний нефтяной отрасли, поскольку известно, что APT33 использует вредоносное вредоносное ПО.
Дата | с адреса | Тема |
31/12/16 | [email protected] | Вакансии |
17.04.17 | [email protected] | Объявление о вакансии |
17.07.17 | карьеры @ ngaaksa.com | Открытие вакансии |
11.09.17 | [email protected] | Вакансии |
20.11.17 | [email protected] | Открытие вакансии |
28.11.17 | [email protected] | Открытие вакансии |
05.03.18 | [email protected] | Открытие вакансии |
02.07.18 | [email protected] | Вакансии SIPCHEM |
30.07.18 | вакансии @ sipchem.ga | Открытие вакансии |
14.08.18 | [email protected] | Открытие вакансии |
26.08.18 | [email protected] | Последняя вакансия |
28.08.18 | [email protected] | Последняя вакансия |
25.09.18 | [email protected] | Вакансии AramCo |
22.10.18 | [email protected] | Открытие вакансии в SAMREF |
Таблица 1.Целевые фишинговые кампании APT33. Источник: Smart Protection Network
компании Trend Micro.Первые два адреса электронной почты в таблице выше (заканчивающиеся на .com и .aero) подделываются группой угроз. Однако адреса, оканчивающиеся на .ga, взяты из собственной инфраструктуры злоумышленника. Все адреса выдаются за известные авиационные и нефтегазовые компании.
Помимо относительно шумных атак APT33 на цепочки поставок нефтепродуктов, мы обнаружили, что APT33 использует несколько C&C доменов для небольших ботнетов, каждый из которых состоит примерно из дюжины ботов.
Похоже, APT33 позаботился о том, чтобы усложнить отслеживание. Домены C&C обычно размещаются на прокси-серверах, размещенных в облаке. Эти прокси-серверы ретранслируют URL-запросы от зараженных ботов к бэкэндам на общих веб-серверах, на которых могут размещаться тысячи легитимных доменов. Бэкенды передают данные бота агрегатору данных и серверу управления ботами, который находится на выделенном IP-адресе. Акторы APT33 подключаются к этим агрегаторам через частную сеть VPN с частыми сменами выходных узлов.Затем субъекты APT33 выдают команды ботам и собирают данные от ботов, используя эти VPN-соединения.
Осенью 2019 года мы насчитали 10 серверов агрегирования и управления ботами в реальном времени и отслеживали несколько из них в течение нескольких месяцев. Эти агрегаторы получают данные с очень небольшого числа C&C серверов (только 1 или 2), и только до дюжины жертв на каждый уникальный домен C&C. В таблице ниже перечислены некоторые из старых доменов C&C, которые все еще существуют.
Домен | Создано |
оорганы.com | 28.05.16 |
suncocity.com | 31.05.16 |
zandelshop.com | 1/6/16 |
simsoshop.com | 02.06.16 |
zeverco.com | 05.06.16 |
qualitweb.com | 6/6/16 |
service-explorer.com | 3/3/17 |
service-norton.com | 06.03.17 |
сервис-eset.com | 06.03.17 |
service-essential.com | 07.03.17 |
update-symantec.com | 12.03.17 |
Таблица 2. Командные домены APT33 для очень узкого таргетинга
Рисунок 1. Схема, показывающая несколько уровней обфускации, которые использует APT33
Злоумышленники часто используют коммерческие службы VPN, чтобы скрыть свое местонахождение при администрировании серверов управления и разведки.Но помимо использования VPN-сервисов, доступных для любого пользователя, мы также регулярно видим актеров, использующих частные VPN-сети, которые они сами для себя создали.
Настроить частный VPN можно легко, арендовав пару серверов в центрах обработки данных по всему миру и используя программное обеспечение с открытым исходным кодом, такое как OpenVPN. Хотя соединения из частных сетей VPN по-прежнему исходят с, казалось бы, несвязанных IP-адресов по всему миру, этот тип трафика на самом деле легче отслеживать. Как только мы узнаем, что выходной узел в основном используется конкретным субъектом, мы можем иметь высокую степень уверенности в атрибуции соединений, которые выполняются с IP-адресов выходного узла.Например, помимо администрирования C&C серверов из частного выходного узла VPN, субъект может также выполнять разведку целевых сетей.
APT33, скорее всего, использует свои выходные узлы VPN исключительно. Мы отслеживали некоторые из частных выходных узлов VPN группы более года и перечислили известные связанные IP-адреса в таблице ниже. Указанные таймфреймы консервативны; вполне вероятно, что IP-адреса использовались в течение более длительного времени.
IP-адрес | Первый просмотр | Последний визит |
5.135.120.57 | 04.12.18 | 24.01.19 |
5.135.199.25 | 03.03.19 | 03.03.19 |
31.7.62.48 | 26.09.18 | 29.09.18 |
51.77.11.46 | 01.07.19 | 02.07.19 |
54.36.73.108 | 22.07.19 | 05.10.19 |
54.37.48.172 | 22.10.19 | 05.11.19 |
54.38.124.150 | 28.10.18 | 17.11.18 |
88.150.221.107 | 26.09.19 | 07.11.19 |
91.134.203.59 | 26.09.18 | 04.12.18 |
109.169.89.103 | 02.12.18 | 14.12.18 |
109.200.24.114 | 19.11.18 | 25.12.18 |
137.74.80.220 | 29.09.18 | 23.10.18 |
137.74,157,84 | 18.12.18 | 21.10.19 |
185.122.56.232 | 29.09.18 | 04.11.18 |
185.125.204.57 | 25.10.18 | 14.01.19 |
185.175.138.173 | 19.01.19 | 22.01.19 |
188.165.119.138 | 08.10.18 | 19.11.18 |
193.70.71.112 | 07.03.19 | 17.03.19 |
195.154,41,72 | 13.01.19 | 20.01.19 |
213.32.113.159 | 30.06.19 | 16.09.19 |
216.244.93.137 | 10.12.18 | 21.12.18 |
Таблица 3. IP-адреса, связанные с несколькими частными выходными узлами VPN, подключенными к APT33
Похоже, что эти частные выходные узлы VPN также используются для разведки сетей, имеющих отношение к цепочке поставок в нефтяной промышленности.Более конкретно, мы были свидетелями некоторых IP-адресов в Таблице 3 при проведении разведки в сети нефтедобывающей компании и военных госпиталей на Ближнем Востоке, а также нефтяной компании в США.
Рис. 2. Использование APT33 частной сети VPN
APT33 использовал свою частную сеть VPN для доступа к веб-сайтам компаний по тестированию на проникновение, веб-почте, веб-сайтам с уязвимостями и веб-сайтам, связанным с криптовалютами, а также для чтения хакерских блогов и форумов.APT33 также проявляет явный интерес к веб-сайтам, специализирующимся на найме сотрудников в нефтегазовой отрасли. Мы рекомендуем компаниям нефтегазовой отрасли связывать свои файлы журналов безопасности с указанными выше IP-адресами.
Рекомендации по безопасности
Продолжающаяся модернизация объектов нефтегазовой, водной и энергетической отраслей затрудняет их обеспечение. Прямые атаки, легко используемые уязвимости, а также открытая SCADA / HMI являются серьезными проблемами.Вот некоторые из лучших практик, которые могут использовать эти организации:
- Установите регулярную политику установки исправлений и обновлений для всех систем. Как можно скорее загрузите исправления, чтобы злоумышленники не могли воспользоваться этими недостатками безопасности.
- Повысьте осведомленность сотрудников о новейших методах атак, которые используют киберпреступники.
- ИТ-администраторам следует применять принцип наименьших привилегий, чтобы упростить мониторинг входящего и исходящего трафика.
- Установите многоуровневую систему защиты, которая может обнаруживать и блокировать злонамеренные вторжения от шлюза до конечной точки.
Обеспечение безопасности цепочек поставок для этих сложных и часто многонациональных систем также сложно, поскольку они обычно имеют необходимых сторонних поставщиков, которые встроены в их основные операции. Эти стороны могут быть упущены из виду с точки зрения безопасности, а уязвимости в общении или соединениях с ними часто становятся целью киберпреступников. Прочтите наше исследование атак на цепочку поставок и наши рекомендации по безопасности здесь.
Как упоминалось выше, известно, что APT33 использует целевые фишинговые электронные письма для проникновения в сеть цели, и с учетом их злонамеренной активности угроза определенно серьезна.Для защиты от спама и угроз электронной почты предприятия могут рассмотреть решения Trend Micro ™ для конечных точек, такие как Trend Micro Smart Protection Suite и Worry-Free ™ Business Security. В Trend Micro Deep Discovery ™ есть уровень проверки электронной почты, который может защитить предприятия путем обнаружения вредоносных вложений и URL-адресов. Trend Micro ™ Hosted Email Security — это облачное решение, не требующее обслуживания, которое обеспечивает постоянно обновляемую защиту от спама, вредоносных программ, целевого фишинга, программ-вымогателей и расширенных целевых атак до того, как они достигнут сети.Он защищает Microsoft Exchange, Microsoft Office 365, Google Apps и другие размещенные и локальные почтовые решения.
Индикаторы компрометации
Название файла | SHA256 | Имя обнаружения |
MsdUpdate.exe | e954ff741baebb173ba45fbcfdea7499d00d8cfa2933b69f6cc0970b294f9ffd | Trojan.Win32.NYMERIA.MLR |
MsdUpdate.exe | b58a2ef01af65d32ca4ba555bd72931dc68728e6d96d8808afca029b4c75d31e | Trojan.Win32.SCAR.AB |
MsdUpdate.exe | a67461a0c14fc1528ad83b9bd874f53b7616cfed99656442fb4d9cdd7d09e449 | Trojan.Win32.SCAR.AC |
MsdUpdate.exe | c303454efb21c0bf0df6fb6c2a14e401efeb57c1c574f63cdae74ef74a3b01f2 | Trojan.Win32.NYMERIA.MLW |
MsdUpdate.exe | 75e6bafc4fa496b418df0208f12e688b16e7afdb94a7b30e3eca532717beb9ba | Троян.Win32.SCAR.AD |
MsdUpdate.exe | 8fb6cbf6f6b6a897bf0ee1217dbf738bce7a3000507b89ea30049fd670018b46 | Trojan.Win32.SCAR.AD |
DysonPart.exe | ba9d76cca6b5c7308961cfe3739dc1328f3dad9a824417fad73b842b043daa1a | Trojan.Win32.SCAR.AD |
Неизвестно | 07e1baf1d0207a139bcf39c60354666496e4331381d36eef9359120b1d8497f1 | Trojan.Win32.SCAR.AD |
иранских хакеров APT33 теперь угрожают безопасности АСУ ТП
В рамках серьезного изменения в стратегии теперь кажется, что иранские хакеры смещают свое внимание, чтобы включить физически разрушительные кибератаки на критически важные объекты инфраструктуры, включая цели в пределах США.С. границы. Иранские хакеры, известные как APT33, сейчас ищут способы использовать уязвимости в системах безопасности в системах управления производством (АСУ ТП) производственных предприятий, операторов энергосетей и нефтеперерабатывающих заводов. В худшем случае, говорят исследователи безопасности АСУ ТП, иранские хакеры могут осуществить массированную кибератаку, которая нарушит энергосистему США и нанесет обширный физический ущерб.
Новые разработки с APT33 иранскими хакерами
Американские специалисты по безопасности внимательно отслеживают деятельность иранских хакеров APT33 с 2013 года.В результате у них есть уникальное понимание меняющейся тактики и стратегии. Эти иранские хакеры, похоже, работают по указанию иранского правительства, и по этой причине, как правило, сосредотачивают свои хакерские усилия на стратегически уязвимых целях. Например, еще в 2017 году охранная фирма FireEye описала различные способы, которыми APT33 нацелился на аэрокосмические и энергетические цели, причем основной объем этих кибератак был сосредоточен на Соединенных Штатах и Саудовской Аравии (оба врага Ирана).Излюбленным методом, используемым этими иранскими хакерами, было использование вредоносных программ-очистителей, которые стирали данные, обнаруженные в компьютерной сети. Такой подход, например, привел к печально известным разрушительным атакам «Шамун» на саудовские нефтяные активы.
В течение почти десяти лет исследователи безопасности АСУ ТП документировали различные типы атак, которые выполняли иранские хакеры. Вначале иранские хакеры APT33 стремились сосредоточиться на относительно низкоуровневых и простых атаках, таких как распределенный отказ в обслуживании (DDoS), атаки на веб-искажение и распыление паролей, которые используют общие пароли для доступа к онлайн-ресурсам.И иранские хакеры были относительно «шумными» обо всей своей деятельности, что облегчало экспертам по безопасности ICS возможность отслеживать их действия. После этого иранские хакерские группы перешли к разрушительным атакам вредоносного ПО и различным формам корпоративного шпионажа.
Но, похоже, что-то изменилось в начале 2019 года, говорит исследователь безопасности Microsoft Нед Моран, который также является научным сотрудником Citizen Lab Университета Торонто. В презентации, представленной на ноябрьском мероприятии CyberWarCon в Вирджинии, Моран описал смещение акцента на атаки ICS со стороны APT33 (который также известен как Refined Kitten, Elfin и Holmium в сообществе безопасности).По мнению Морана, такое смещение фокуса может сигнализировать об опасной новой фазе глобальной кибервойны между Ираном и США. Иран может заложить основу для разрушительных кибератак далеко за пределами Ближнего Востока.
С января по октябрь, по словам Морана, спонсируемые государством иранские хакеры нацелились на десятки тысяч компаний, используя атаки методом подбора пароля, в которых для получения доступа к корпоративным компьютерным сетям используются относительно распространенные комбинации имени пользователя и пароля.Однако в октябре и ноябре иранские хакеры сузили свое внимание примерно до 2000 различных организаций или компаний, причем удивительно большое количество этих компаний было связано с системами управления производством. Фактически, половина из 25 ведущих кибер-целей — производители или обслуживающие системы промышленного управления.
Адам Лауб, директор по маркетингу STEALTHbits Technologies, комментирует возможные сценарии риска, связанные с атаками на АСУ ТП: «К сожалению, можно только надеяться — по крайней мере, на данный момент — что внимание APT33 или любой другой группы к производителям и отраслям, связанным с АСУ ТП, ограничивается разведка и шпионаж.Ущерб личности или кража интеллектуальной собственности меркнут по сравнению с катастрофическим отказом электростанции в разгар зимы или любым количеством немыслимых сценариев. В мире, где широкая общественность стала в значительной степени невосприимчивой к ежедневным нарушениям данных, вполне вероятно, что атаки на АСУ ТП вернут нас всех обратно в реальность ».
Последствия новых атак APT33 для безопасности АСУ ТП
Очевидно, что если иранские хакеры, такие как APT33, переключат свое внимание на системы промышленного контроля, это будет иметь серьезные последствия для того, как Соединенные Штаты должны думать о безопасности АСУ ТП.Что наиболее важно, это будет сигналом того, что Иран больше не стремится просто украсть корпоративные или коммерческие секреты или раздражать официальных лиц США атаками по искажению веб-сайтов — вместо этого иранские хакерские группы стремятся нанести физический ущерб Соединенным Штатам. В базовом сценарии безопасности АСУ ТП фрагменты вредоносного кода могут использоваться для остановки промышленного оборудования, такого как вентиляторы, насосы или трубопроводы. В худшем случае Иран может попытаться вывести из строя всю энергосистему США.
С точки зрения безопасности АСУ ТП, одна из основных проблем заключается в том, что большая часть критически важной инфраструктуры Америки чрезвычайно уязвима — она устарела, плохо управляется и не обслуживается и спроектирована еще до киберпреступности.Поколение назад иранским хакерам APT33 понадобился бы физический доступ к объектам инфраструктуры, чтобы нанести ущерб. Теперь, однако, с таким количеством устройств и датчиков, подключенных к Интернету, и с таким упором на программное обеспечение АСУ ТП, иранские хакеры, такие как APT33, могут проводить свои кибератаки за тысячи миль.
Рэй ДеМео, соучредитель и главный операционный директор Virsec, подробно описывает некоторые риски для операторов АСУ ТП: «Существует распространенное заблуждение, что системы ОТ менее уязвимы для атак, чем системы ИТ.Нет необходимости взламывать физическое оборудование, чтобы вызвать сбой или повреждение промышленного оборудования. Системы управления (SCADA и другие) в основном работают на обычных машинах Windows и уязвимы для широкого спектра внешних атак, атак на цепочку поставок и внутренних атак. Мы неоднократно сталкивались с атаками от Stuxnet на Triton / Trisis, что бесфайловые атаки и атаки в памяти могут захватить системы управления, а затем легко вывести из строя физическое промышленное оборудование. Отрасль ICS нуждается в серьезном тревожном звонке, чтобы более серьезно отнестись к этим угрозам и быстро внедрить более надежную безопасность во всех своих стеках ИТ / OT.”
Более того, если бы иранские хакеры теперь выполняли приказы иранского правительства, смещение акцента на цели АСУ ТП означало бы, что миры национальной безопасности и безопасности АСУ ТП будут навсегда переплетены. Компании частного сектора, отвечающие за объекты критической инфраструктуры, должны будут более тесно сотрудничать с правительством и спецслужбами, чтобы обеспечить их защиту от будущих кибератак. По этой причине правительство США уже более внимательно изучает способы предупреждения компаний частного сектора о новых субъектах угроз или о конкретных уязвимостях в энергетическом секторе.
Иранские # хакеры переключают свое внимание на физически разрушительные # кибератаки на цели #CII. #respectdataНажмите, чтобы написать твитПриведут ли кибератаки «око за око» к кинетической войне?
Одна из основных проблем безопасности АСУ ТП заключается в том, что за любой иранской кибератакой последует кибер-контратака США на иранские активы, за которой последует иранская контратака в своего рода порочном круге, в котором атаки продолжают расти по своему характеру и интенсивности. В какой-то момент атака станет настолько разрушительной, говорят эксперты по безопасности, что будет равносильна войне.
И действительно, похоже, именно это и происходит сейчас, когда Иран и Соединенные Штаты участвуют в «теневой» кибервойне. Каждый раз, когда Иран сбивает американский беспилотник или атакует корабли или нефтеперерабатывающие предприятия на Ближнем Востоке, США теперь наносят ответный удар наступательными кибератаками. И теперь похоже, что обострение напряженности в течение лета привело к новому смещению внимания иранских хакеров. Ходят слухи, что кибератаки США были осуществлены против иранских нефтяных объектов, и Иран, возможно, хочет отомстить таким же образом.Это новая опасная тенденция, которая имеет новые серьезные последствия как для безопасности АСУ ТП, так и для национальной безопасности.
2180 Geary Rd Apt 33, Pleasant Hill, CA, 94523
Красиво обновленный кондоминиум на границе с Уолнат-Крик! Внутри прачечная! Обновленная кухня с новой белой мебелью, кварцевыми столешницами, бытовой техникой из нержавеющей стали и роскошными виниловыми полами! Встроенное освещение, окна с двойным остеклением и полностью обновленная ванная комната. Удобное расположение рядом с местным торговым центром Palos Verdes, парком Ларки, BART и выездом на автостраду.Большой открытый частный дворик. См. 3D-тур Matterport.
Характеристики объекта
Другие комнаты
- Всего комнат: 5
- Обеденная зона
Ванных комнат
- Всего ванных комнат: 1/0
- Полных ванных комнат: 1
- Основная ванная комната Особенности: ванна, плитка, Обновленные ванны, окна
Элементы интерьера
- Комнаты нижнего этажа: 2 спальни, 1 ванная, прачечная, главный вход
- Пол: ламинат, ковер
Бытовая техника
- Сушильная машина
- Стиральная машина
- Электрический нагреватель
- Оконные покрытия
- Детектор дыма
- Услуги прачечной: в шкафу, стиральная / сушильная машина, выстроенная в ряд, включая
Кухня и столовая
- Розетка 220 В
- Счетчик — твердая поверхность Микроволновая печь
- Посудомоечная машина 916 916 916 Вывоз мусора 916
- Обновленная кухня
Отопление и охлаждение
- Cooling Feat ures: потолочные вентиляторы, оконные / настенные блоки
- Характеристики обогрева: электрические
Бассейн и спа
- Характеристики бассейна: PoolFeatures: Community Fclty, In Ground
Производство и мобильная информация
Гараж и парковка
- Характеристики парковки: Навес — 1, Парковка под зданием
Внешний вид и особенности участка
- Двор: Передний двор, закрытый патио
Ассоциация домовладельцев
- Ассоциация: Да
- Ассоциация Удобства: Бассейн, Парковка для гостей, прачечная
- Сбор за ассоциацию: 427
- Частота сбора за ассоциацию: ежемесячно
- Сбор за ассоциацию включает в себя: обслуживание помещений общего пользования, внешнее обслуживание, страхование от рисков, плату за управление, вывоз мусора, водоснабжение / канализацию, площадки для технического обслуживания
- Расчетная сумма за месяц Сборы ассоциации: 427
- Название ассоциации: PLEASANT HILL TERRACE
- Телефон ассоциации: 9257433080 916 15 Описание питомца: По утверждении
Информация о нескольких единицах
- Количество единиц: 40
- Характеристики единиц: Конечные единицы, расположение первого этажа, уровни в единицах — 1
Информация о школе
- Школьный округ: Маунт Diablo (925) 682-8000
Другая информация об объекте недвижимости
- Статус исходного списка: Ожидается
- Округ: Contra Costa
- Cross Street: BARNETT TERRACE
- Направления: GEARY TO BARNETT TERR.