Разрушающая машина Rokc в Иране
Кибератаки ROKC нарушили промышленную деятельность в Иране
Серия изощренных кибератак, приписывают злоумышленнику, известному как ROKC (Детонирующий состав для рафинированного масла), нацелился и вызвал значительные сбои в системах промышленного управления (ИКС) и оборудование в критически важных секторах инфраструктуры Ирана. Эти инциденты, проанализированы такими фирмами по кибербезопасности, как Dragos Inc., предполагают преднамеренное манипулирование эксплуатационными технологиями (ОТ) вызвать физический ущерб или остановку работы, выход за рамки традиционной кражи данных. Атаки характеризуются глубоким пониманием промышленных процессов и оборудования конкретного поставщика., особенно нацелены на системы от Schneider Electric и Omron. Эта кампания подчеркивает растущую тенденцию геополитических киберконфликтов, в которых злоумышленники стремятся нанести ощутимый экономический и инфраструктурный ущерб..
Modus Operandi и технический анализ
Атаки ROKC используют многоэтапный метод проникновения.. Первоначальный доступ часто достигается путем взлома ИТ-сети., с последующим боковым перемещением в изолированную среду ОТ. Затем злоумышленники используют вредоносную логику, предназначенную для вмешательства в работу программируемых логических контроллеров. (ПЛК). В отличие от программ-вымогателей, которые шифруют данные, Полезная нагрузка ROKC спроектирована так, чтобы изменять логику управления или выдавать разрушительные команды.. Например, они могут неоднократно отправлять "останавливаться" подавать команды турбинам или манипулировать настройками клапанов, чтобы вызвать детонацию — повреждение двигателей или вращающегося оборудования, — приводящее к механическому отказу..
Ключевым отличием является ориентация группы на конкретные устройства промышленной безопасности и контроля.. В следующей таблице ROKC сравнивается с более традиционными киберугрозами.:
| Особенность | ГОД / ОТ-Разрушительная атака | Обычные ИТ-вымогатели |
|---|---|---|
| Основная цель | Операционная технология (ИКС, ПЛК, СКАДА) | Информационные технологии (Серверы, Рабочие станции) |
| Основная цель | Нанести физический урон, остановка процесса, или саботаж | Финансовое вымогательство посредством шифрования/кражи данных |
| Ключевое воздействие | Экономические потери, риски безопасности, нарушение инфраструктуры | Недоступность данных, финансовые затраты, репутационный вред |
| Действие полезной нагрузки | Изменяет логику управления, выдает деструктивные команды | Шифрует файлы с целью выкупа |
| Восстановление | Часто требуется физический ремонт/замена оборудования | Обычно полагается на восстановление системы из резервных копий. |
Часто задаваемые вопросы
1 квартал: Что означает ROKC?
А1: РОКК означает "Детонирующий состав для рафинированного масла." Это имя было присвоено исследователями кибербезопасности компании Dragos Inc.. на основе строк кода вредоносного ПО и его предполагаемого эффекта — вызвать "стучать," форма разрушительного преждевременного зажигания или дисбаланса давления, в промышленном оборудовании.
2 квартал: Какие отрасли Ирана пострадали?
А2: Хотя конкретные организации редко официально подтверждаются, анализ указывает на нацеливание на энергетический сектор Ирана, включая нефтеперерабатывающие заводы и связанные с ними промышленные объекты. Отчеты таких агентств, как ISNA (Информационное агентство иранских студентов) упомянули о необъяснимых сбоях и остановках на таких заводах, совпадающих с известными периодами деятельности ROKC..
Q3: Связана ли РОКЦ с государственным субъектом?
А3: Аналитики по кибербезопасности с умеренной уверенностью оценивают, что ROKC является иранской группой угроз.. Нападение на критическую инфраструктуру противников согласуется с заявленной Ираном кибер-доктриной и историческим использованием им аналогичных ОТ-угроз, таких как "Промышленник" вариант, использованный против Украины.
Q4: Как организации могут защититься от таких атак?
А4: Обороне требуется ОТ-ориентированная концепция безопасности: надежная сегментация сети между ИТ и ОТ; строгий контроль доступа; непрерывный мониторинг трафика OT-сети на предмет аномалий; и поддержание подробных автономных резервных копий логики и конфигураций ПЛК для быстрого восстановления..
Q5: Был ли подтвержденный случай физического повреждения?
А5: В то время как иранские власти часто преуменьшают значение киберинцидентов, В многочисленных независимых отчетах по кибербезопасности зафиксированы случаи, когда деятельность ROKC напрямую коррелировала с аварийными остановками на промышленных объектах.. Характер кода подтверждает, что его замысел заключается в физическом разрушении., высокая вероятность ущерба при успешных вторжениях..jpg)
Тематическое исследование: Анализ 2022 Кампания
В конце 2022, Драгос Инк. задокументировали обновленную кампанию ROKC с использованием обновленных возможностей. Злоумышленники использовали новые методы для существования в OT-сетях и адаптировали свою полезную нагрузку для новых версий контроллеров Schneider Electric.. В ходе расследования выяснилось, что группа тщательно изучала технические руководства к конкретным моделям ПЛК, чтобы понять, как максимально нарушить процессы.. Эта эволюция демонстрирует непрерывный цикл разработки, направленный на преодоление улучшенной защиты и нацеленность на обновленную инфраструктуру.. Этот случай подчеркивает, что субъекты угроз вкладывают значительные ресурсы в детальное понимание промышленных систем, чтобы повысить эффективность и надежность своих атак..
Продолжающаяся деятельность таких групп, как ROKC, означает опасную эскалацию киберугроз.. Это перемещает поле битвы от конфиденциальности данных к реальной физической целостности и безопасности., требуя фундаментального изменения в том, как страны и корпорации защищают свои наиболее важные промышленные активы.