Да в принципе стандартная виндовая блокировка уз при неправильном вводе пароля решает большинство проблем

+ но опять же там правила и инфраструктура не защищена и не настроена

Исследователи SentinelOne опубликовали отчет о результатах расследования кибератаки на Иранскую железную дорогу (IRIR).

Сама атака произошла 9 июля, в результате нее из строя вышли система управления поездами, а также билетные сервисы. Итогом стала отмена части пассажирских и грузовых перевозок. А взломанные информационные табло на ж/д вокзалах Ирана предлагали для получения дополнительной информации звонить по телефону офиса Верховного аятоллы Ирана Али Хаменеи.

Изначально иранские власти опровергали факт атаки, охарактеризовав сбой как техническую проблему, однако на следующий день таки были вынуждены ее признать. Уже изначально по тролингу Хаменени можно было предположить, что за атакой стоит Израиль. Тем более, что перекидывание киберплюхами - это излюбленное занятие иранских и израильских хакеров.

Первоначальный анализ использованного в ходе атаки вредоносного ПО сделала иранская компания Amnpardaz. Основываясь на этом анализе SentinelOne смогли восстановить большую часть компонентов атаки, которые привели к неизвестному ранее актору.

Основным инструментом хакеров послужил набор из трех вредоносов - вайпера файловой системы, который получил название Meteor (название авторы малвари забыли внутри кода), блокировщик экрана, а также вайпера MBR. Соответственно вся атака получила название MeteorExpress.

Интересный факт - при развертывании в атакуемой системе вредонос проверял установлен ли в ней Антивирус Касперского и если находил его, то самоликвидировался.

Изучение кода использованной малвари дало странные результаты. С одной стороны при разработке вредоносов использовался ряд продвинутых техник вплоть до обширной проверки ошибок при развертывании в целевой системе, с другой - наличие грубых просчетов OPSEC, сборная солянка из открытого и авторского кода и применение устаревшего ПО.

Судя по всему вредоносы писались под конкретную атаку несогласованной командой хакеров, среди которых были как профессоналы, так и дилетанты.

Никакого атрибутирования автора атаки SentinelOne не проводят, равно как не указывает первичного вектора компрометации сети IRIR. Однозначно ясно лишь, что основной целью киберкампании было выведение из ее строя, при этом нападающие были знакомы с особенностями функционирования сети, что означает наличие предварительного этапа разведки, который остался незамеченным подразделением информационной безопасности.

интересно как была выстроена защита..Алексей а вы не сталкивались с исследованием какие технологии ИБ не прошли проверку временем и оказались не эффективными?

Так нет таких. Каждой технологии свое время и место. Пофилософствую маленько

уровень угроз государство какие проверенные решения, да ни каких 100% гарантий. Там тоже не все так просто КАсперский почему проверяет? теневые копии грохает, выводит из АД. Задача странная как будто отвлекающая от чего то, цель то какая ну они из образов восстановят тачки и все у них там ВИМ был думаю и хранилище отдельно было

Цель атаки какая парализовать работу жд с помощью блокировок ПК, ок но уровень как то слабоват, когда можно было там сидеть и пускать поезда под откос

"Зырь че могу" - демонстрация возможностей

Это значит потерять контроль над объектом, после будет проверка всей системы с последующим анализом это минус 0зд которые использовались. И толку то Иран будет все равно отвечать , ждем шухера на той стороне площадки, в эту игру можно играть вдвоем )

Было бы еще интереснее если дополнительно предоставить  информацию по структуре стенда, использованным СЗИ, какие требования ИБ, СТО соответствовали изначально . Кто  владеет информацией ?

Мне кажется, та компания, у которой не настроен фаервол и нет хоть какой-то парольной политики вряд ли купит себе Isim

Кто у нас из позитива?)) @ironbang ?

Средства PT, я как понял, для визуализации атак и сбора метрик для защитников, в реальной такой сети никто ничего не увидит

верно, потому что у такой компании нет денег и людей чтоб элементарно провести инвентаризацию и начать мониторить инфраструктуру.

откуда такая уверенность?)))

визуализация атак довольно странная функциональность. никому не хочется сидеть смотреть как его ломают. поэтому решения должны уметь расчитывать потенциально возможные вектора и своевременно информировать . а так предлагать варинаты реагирования на события в соответствии с этапом килл чейна  или конкретной цепочки событий.

на реальных инфраструктурах АСУ ТП продукты ПТ работаю.

Имеется ввиду для визуализации во время стэндофа, в реальной сети в которой стоит продукт PT уровень защиты ожидается более высокий

Возможно. Но пока на практике большие различия между стендофом и большинством  реальных площадок в плане защиты мы редко встречаем.