В 2024 году Канадский центр кибербезопасности (CCCS) выпустил предупреждение о хактивистской активности против канадских систем промышленного управления (ICS). Среди инцидентов - воздействия на системы водоснабжения, нефтегазовые объекты и сельскохозяйственную инфраструктуру. Вектор во всех трёх случаях - VNC, торчащий в интернет. Не APT-группировки с бюджетом и zero-day. Хактивисты.
Если хактивисты через открытый VNC добираются до SCADA, то что делают группировки, у которых есть время, деньги и собственные фреймворки для промышленных протоколов? Ниже - разбор трёх таких группировок с конкретными точками детектирования на каждом этапе.
Бизнес-логика атаки: зачем APT-группировкам OT-сегмент
Атака на промышленную систему - не кража данных с последующей монетизацией. Последствия выходят из цифрового пространства в физический мир: Stuxnet уничтожил центрифуги Natanz, Industroyer отключил энергоснабжение на Украине в 2016-м (а Industroyer2 в 2022-м обнаружили и предотвратили CERT-UA совместно с ESET до реализации блэкаута), атака на немецкий сталелитейный завод в 2014 году (атрибуция публично не установлена) нарушила логику управления доменной печью и привела к её повреждению. Подробнее - в нашем материале про кибербезопасность критической инфраструктуры.
Мотивация APT-группировок в OT делится на три категории:
- Препозиционирование - закрепление в инфраструктуре для активации в момент эскалации конфликта (Volt Typhoon)
- Деструктивное воздействие - отключение энергосистем, нарушение производственных процессов (Sandworm)
- Разработка инструментария - создание модульного оружия, способного атаковать контроллеры разных вендоров (CHERNOVITE / PIPEDREAM)
Sandworm атаки на энергосети: полная цепочка от фишинга до блэкаута
Sandworm (он же APT44, Seashell Blizzard, IRIDIUM, Voodoo Bear, TeleBots; ранний период активности ESET обозначал как BlackEnergy по имени одноимённого malware-семейства) - наиболее документированная APT-группировка в контексте кибератак на промышленные системы управления в энергетическом секторе.IT-фаза: Enterprise ATT&CK
Sandworm начинает с корпоративной сети. Цепочка типовая, но от этого не менее эффективная:Initial Access - Phishing (T1566). По данным Verizon DBIR 2025, фишинг остаётся одним из ведущих векторов initial access (точная доля зависит от категории - social engineering, credentials и др.; актуальные цифры в отчёте). Sandworm использует spearphishing attachment с документами, эксплуатирующими уязвимости Microsoft Office. Адресаты - инженеры АСУ ТП, специалисты по обслуживанию оборудования. Выбор не случаен: их учётные данные дают путь к engineering workstation. Для SOC: Sigma-правила по тегу T1566 (Phishing) в репозитории SigmaHQ покрывают монтирование ISO-образов, подозрительные вложения Outlook, WebDAV-запросы через прокси.
Credential Access - OS Credential Dumping (T1003). После закрепления группа извлекает учётные данные доменных администраторов.
ntdsutil.exe с параметрами "activate instance ntds" и "ifm" (T1003.003 - NTDS) копирует NTDS.dit и даёт хеши всех доменных учёток. Для SOC это базовое правило корреляции: любой запуск ntdsutil.exe вне штатных процедур администрирования - алерт высокого приоритета. Без исключений.Lateral Movement к OT: скомпрометированный historian. Вот здесь начинается самое интересное. Historian-сервер сидит на уровнях 3-3.5 по Purdue-модели. У него сетевая связность и с Active Directory, и со SCADA-серверами. Это легитимный хост, его трафик не вызывает подозрений у межсетевого экрана. Компрометация historian -> доступ к engineering workstation -> прямое взаимодействие с ПЛК. Sandworm этот путь использовал неоднократно, и он до сих пор работает в большинстве промышленных сетей, где historian - единственный мост между IT и OT.
OT-фаза: ICS ATT&CK
В атаках на украинские энергосети Sandworm использовал Industroyer/Industroyer2 - вредонос, который нативно работает с промышленными протоколами. По анализу ESET, Industroyer отправлял команды по IEC 60870-5-104 (IEC 104) - протоколу, стандартному для европейских энергосистем. Вредоносное ПО использовало различные типы ASDU: C_IC_NA_1 (interrogation command) для опроса состояний RTU, а также C_SC_NA_1 (single command) и C_DC_NA_1 (double command) для управления выключателями высоковольтных подстанций.В терминах MITRE ATT&CK for ICS:
- Inhibit Response Function - подавление мониторинга, чтобы операторы не видели реальное состояние оборудования
- Impair Process Control - модификация уставок и команд управления
- Impact - физическое отключение электроснабжения
Volt Typhoon: LOTL-техники в критической инфраструктуре
Volt Typhoon - группировка, связанная с КНР, специализируется на препозиционировании в критической инфраструктуре: энергетика, водоснабжение, телекоммуникации. По данным CrowdStrike Global Threat Report 2025, активность China-nexus adversaries выросла на 150% за 2024 год.
Отличие от Sandworm - полное отсутствие кастомного вредоносного ПО. Вся операция строится на living-off-the-land (LOTL):
wmic.exe, netsh.exe, PowerShell, ntdsutil.exe, certutil.exe - штатные утилиты Windows, которые не вызывают срабатываний сигнатурного AV. И именно в OT-контексте эта техника становится по-настоящему опасной.Почему LOTL в OT опаснее, чем в IT:
Baseline в OT статичен. Engineering workstation годами запускает один набор приложений: TIA Portal, FactoryTalk, Wonderware. Появление
wmic.exe или netsh.exe - красный флаг. Но только если в SOC есть baseline этой станции. На практике OT-сегменты зачастую не инвентаризированы на уровне запускаемых процессов - и вот тут начинается проблема.EDR ограничен или отсутствует. На engineering workstation под Windows 7 или 10 LTSC агент CrowdStrike Falcon или SentinelOne часто не установлен. Причина банальна: вендор ПЛК требует неизменности ОС, и любой агент - это "несогласованное изменение", которое может снять систему с гарантии. Elastic Agent 8.x+ в таких средах - редкость.
Сетевая сегментация обходится через легитимный доступ. VPN-подключение инженера с компрометированной рабочей станции проходит через firewall штатно. Для firewall это "нормальный" трафик. Для атакующего - прямой путь в OT-сегмент.
Для SOC: без Application Whitelisting (Sysmon + WEF или CyberArk EPM) на engineering workstation вы слепы. Запуск
netsh advfirewall или wmic process на станции с TIA Portal - алерт для первой линии. Не "подозрительная активность", а "инцидент до выяснения обстоятельств".CHERNOVITE PIPEDREAM вредоносное ПО: модульный фреймворк для ПЛК
CHERNOVITE - обозначение Dragos для группировки, разработавшей PIPEDREAM (INCONTROLLER по классификации Mandiant). По CISA Advisory AA22-103A и отчёту Dragos, это модульный фреймворк для атак на промышленные контроллеры нескольких вендоров: Schneider Electric, OMRON, OPC UA серверы, а также контроллеры на базе CODESYS.
Принципиальная опасность PIPEDREAM - это не exploit для конкретной CVE. Это инструментарий, который работает через штатные промышленные протоколы:
Modbus TCP - FC5 (Write Single Coil), FC6 (Write Single Register), FC16 (Write Multiple Registers) для прямой записи в регистры ПЛК. Modbus не предусматривает аутентификации в стандартной реализации. Любой хост с сетевым доступом к порту 502 отправляет команду записи - и ПЛК её выполняет. Без вопросов.
CODESYS - взаимодействие с рантаймом контроллеров, поддерживающих эту среду. Позволяет загружать модифицированную логику на ПЛК без физического доступа к engineering workstation. По документации - нельзя. На практике - можно, и PIPEDREAM это демонстрирует.
Для контекста: TRITON (TRISIS) - ещё один пример ICS-специфичного вредоносного ПО - использовал технику Masquerading (T1036 - Enterprise): файл "trilog.exe" мимикрировал под легитимную утилиту Triconex для анализа логов SIS. Инженер видит знакомое имя файла и не задаёт вопросов.
Чем OT-угрозы отличаются от IT на уровне защитных мер
Разница не абстрактная - она в конкретных ограничениях, с которыми SOC сталкивается при мониторинге промышленного сегмента каждый день.| Параметр | IT-среда | OT-среда |
|---|---|---|
| Патч-цикл | Регулярный | Раз в год или никогда (29 мес. - IBM X-Force) |
| EDR-покрытие | 90%+ хостов | варьируется; вендоры ПЛК нередко запрещают установку агентов |
| Протоколы | HTTP/S, SMB, RDP - парсятся любым SIEM | Modbus, DNP3, IEC 104, PROFINET - нужны специализированные парсеры |
| Аутентификация | Kerberos, NTLM, MFA | Modbus - без аутентификации, DNP3 SA - опциональна |
| Baseline | Динамичный | Статичный: одни запросы к тем же регистрам с интервалом 1-5 сек |
| Влияние false positive | Сотрудник без почты | Остановка турбины |
Специфика Modbus, которую IT-шники часто не понимают: протокол не содержит имени тега в пакете. Запрос FC3 (Read Holding Registers) к регистру 40001 в PCAP-трафике - числовой адрес без контекста. Чтобы понять, что 40001 - "давление в трубопроводе", нужна карта тегов конкретного ПЛК. Без этой карты аналитик SOC не отличит чтение температуры от чтения аварийной уставки. А ведь это принципиально разные вещи с точки зрения реагирования.
DNP3 в энергетике поддерживает Secure Authentication (SA), но внедрение SA в действующей SCADA-системе - проект на месяцы с реальным риском нарушения работоспособности. Большинство инсталляций работает без SA. Детектирование строится на аномалиях: нетипичные direct operate, unsolicited response от станций, которые работают только в polling-режиме.
MITRE ATT&CK for ICS техники атак: detection-чеклист для SOC
Нумерованный список для включения в playbook реагирования на инциденты в OT-сегменте:- Матрица сетевого взаимодействия. Составить таблицу "источник -> назначение -> порт -> протокол -> function code" для всего Modbus/DNP3/IEC 104 трафика. Новое соединение за пределами матрицы - алерт. Без этой матрицы всё остальное бесполезно.
- Пример правила для промышленного IDS (концептуальный - адаптировать под конкретный продукт):
YAML:
# Пример для демонстрации концепции, адаптировать под IDS
title: Unexpected Modbus Write from Non-Engineering Host
detection:
selection:
function_code: [5, 6, 15, 16]
filter:
source_ip|cidr: '10.10.50.0/24' # subnet инженерных станций
condition: selection and not filter
level: highЗа четыре года разбора инцидентов в промышленных сетях я убедился: проблема не в отсутствии инструментов. Dragos, Claroty, Nozomi - все парсят Modbus и DNP3 на уровне function code. Проблема - в разрыве между SOC и OT-инженерами. SOC видит алерт "аномальный Modbus write" и не понимает, что означает запись в регистр 40001. OT-инженер видит скачок давления и списывает на глюк датчика - потому что у датчиков давления действительно бывают глюки. Группировки уровня Sandworm и Volt Typhoon целенаправленно эксплуатируют именно этот разрыв: атака маскируется под технологический шум, пока не станет слишком поздно. Решение - не ещё один IDS, а совместный playbook SOC + OT с единой картой тегов и прописанными порогами эскалации. Тематический тред с разбором таких playbook'ов по промышленным APT-группировкам есть на codeby.net - коллеги делятся маппингом ICS-техник на конкретные алерты.
Последнее редактирование модератором:
