Холодильник грелся, компрессоры ломались. Хакеры КСИР парализовали израильский пищевой завод
NewsMakerИнженеры долго искали аппаратную неисправность, пока не поняли, что причина пришла извне.
Даже когда на линии фронта наступает затишье, атаки могут продолжаться в другой среде. Специалисты Profero описали кибероперацию , в которой иранские хакеры одновременно ударили по офисной сети и промышленному оборудованию израильского пищевого предприятия, где сбой мог обернуться потерей продукции и долгим простоем.
Инцидент начался с роста температуры в холодильных камерах. Инженеры ожидали обычную поломку компрессора или клапана, но нашли следы вмешательства в контроллеры промышленной холодильной системы. Неизвестные изменили температурные настройки, пределы безопасности и режимы работы клапанов, а затем сменили учётные данные на центральном контроллере. Персонал потерял удалённый доступ к оборудованию в момент, когда система уже работала неправильно.
По данным Profero, за атакой стоит группировка Cyber Isnaad Front, которую компания относит к иранской структуре Aria Sepehr Ayandehsazan, связанной с КСИР . ASA называют преемником Emennet Pasargad, ранее попавшей под санкции США за кибероперации влияния. Группа выдаёт себя за независимое хактивистское объединение, но Profero считает такой публичный образ прикрытием для операций против израильских целей.
На Windows-серверах завода специалисты нашли вредоносную программу GRAT. Она маскировалась под служебные компоненты Microsoft , закреплялась через задачу «OneDrive Update» и могла собирать сведения о системе, управлять процессами, менять реестр, запускать VNC, похищать файлы, шифровать данные и полностью затирать диски. Команды поступали через RabbitMQ по TLS, а результаты возвращались через Redis на сервер 84[.]201[.]6[.]131.
Удар по промышленному контуру оказался не менее опасным. На старой холодильной системе атакующие изменили параметры работы, а на новой стёрли и сбросили программную конфигурацию контроллера. Инженерам пришлось заново сопоставлять проводку, датчики, выходы и схемы управления. Затем злоумышленники перевели моторизованные клапаны в ручной режим и зафиксировали в открытом положении, что привело к неправильному движению хладагента CO2 и поломке трёх компрессоров.
Восстановление заняло несколько дней и потребовало замены компрессоров, клапанов, фильтров, реле давления и других компонентов. Profero подчёркивает, что атака не ограничивалась кражей данных. Операторы понимали, как работает холодильное оборудование, и использовали штатные настройки контроллеров, чтобы нанести физический ущерб.
Компания рекомендует искать подозрительные задачи с названиями продуктов Microsoft, проверять соединения с указанной инфраструктурой, изолировать заражённые хосты и хранить офлайн-копии конфигураций контроллеров. Для промышленных сетей особое значение имеют сегментация, контроль удалённого доступа и тревоги не только по значениям датчиков, но и по изменениям режимов работы.
Даже когда на линии фронта наступает затишье, атаки могут продолжаться в другой среде. Специалисты Profero описали кибероперацию , в которой иранские хакеры одновременно ударили по офисной сети и промышленному оборудованию израильского пищевого предприятия, где сбой мог обернуться потерей продукции и долгим простоем.
Инцидент начался с роста температуры в холодильных камерах. Инженеры ожидали обычную поломку компрессора или клапана, но нашли следы вмешательства в контроллеры промышленной холодильной системы. Неизвестные изменили температурные настройки, пределы безопасности и режимы работы клапанов, а затем сменили учётные данные на центральном контроллере. Персонал потерял удалённый доступ к оборудованию в момент, когда система уже работала неправильно.
По данным Profero, за атакой стоит группировка Cyber Isnaad Front, которую компания относит к иранской структуре Aria Sepehr Ayandehsazan, связанной с КСИР . ASA называют преемником Emennet Pasargad, ранее попавшей под санкции США за кибероперации влияния. Группа выдаёт себя за независимое хактивистское объединение, но Profero считает такой публичный образ прикрытием для операций против израильских целей.
На Windows-серверах завода специалисты нашли вредоносную программу GRAT. Она маскировалась под служебные компоненты Microsoft , закреплялась через задачу «OneDrive Update» и могла собирать сведения о системе, управлять процессами, менять реестр, запускать VNC, похищать файлы, шифровать данные и полностью затирать диски. Команды поступали через RabbitMQ по TLS, а результаты возвращались через Redis на сервер 84[.]201[.]6[.]131.
Удар по промышленному контуру оказался не менее опасным. На старой холодильной системе атакующие изменили параметры работы, а на новой стёрли и сбросили программную конфигурацию контроллера. Инженерам пришлось заново сопоставлять проводку, датчики, выходы и схемы управления. Затем злоумышленники перевели моторизованные клапаны в ручной режим и зафиксировали в открытом положении, что привело к неправильному движению хладагента CO2 и поломке трёх компрессоров.
Восстановление заняло несколько дней и потребовало замены компрессоров, клапанов, фильтров, реле давления и других компонентов. Profero подчёркивает, что атака не ограничивалась кражей данных. Операторы понимали, как работает холодильное оборудование, и использовали штатные настройки контроллеров, чтобы нанести физический ущерб.
Компания рекомендует искать подозрительные задачи с названиями продуктов Microsoft, проверять соединения с указанной инфраструктурой, изолировать заражённые хосты и хранить офлайн-копии конфигураций контроллеров. Для промышленных сетей особое значение имеют сегментация, контроль удалённого доступа и тревоги не только по значениям датчиков, но и по изменениям режимов работы.