Киберпреступная группировка, известная своей атакой на нефтехимический завод в Саудовской Аравии с использованием сложного вредоносного ПО для АСУ ТП, расширила свою операцию.

Как сообщает ИБ-стартап Dragos, группировка Xenotime стала атаковать компании на территории США. Используемое в атаках ПО имеет схожие черты с вредоносом Trisis, применявшимся в прошлом году в ходе атаки на нефтехимический завод в Саудовской Аравии. Тем не менее, если оригинальный Trisis предназначался только для одной конкретной АСУ ТП, то новый вариант способен атаковать целый ряд систем противоаварийной защиты (ПАЗ).

Системы ПАЗ представляют собой аппаратно-программные контроллеры для защиты масштабных производственных процессов и оборудования на атомных электростанциях, нефтехимических и других заводах. Производителей, выпускающих такие системы, не так много. Среди них компании Emerson (Сент-Луис, США), Honeywell (Нью-Джерси, США) и Yokogawa (Токио, Япония), однако Dragos не называет производителей, на чьи устройства нацелились киберпреступники. Исследователи передали полученную информацию властям и связались с атакованными компаниями.

Каким образом группировке Xenotime удалось создать столь сложное ПО, неизвестно. По словам директора Dragos по аналитике и сбору информации Сержио Калтагироне (Sergio Caltagirone), в некоторых случаях хакеры взломали IT-системы атакуемых предприятий и получили доступ к ПАЗ. Еще один шаг, и им удалось бы получить доступ к процессам управления, что могло бы привести к катастрофическим последствиям. Вредонос попал в системы предприятий предположительно через фишинговые письма и зараженные сайты.