Эксперты: Хакеры используют вредоносное USB ПО для хищения данных из закрытых сетей

image

Теги: хакер, USB-накопитель, закрытая сеть

Win 32/USBStealer использовалась злоумышленниками в кампаниях, нацеленных на правительственные организации стран Восточной Европы.

Исследователи ИБ-компании ESET  проанализировали  вредоносный инструмент, который одна из подозреваемых в связи с Российским правительством группировок, известная как «Sednit», «APT 28» и «Sofasy», использовала для хищения ценной информации из физически изолированных сетей.

Специалисты изучили вредоносную программу под названием Win 32/USBStealer, которая использовалась злоумышленниками по крайней мере с 2005 года в кампаниях, нацеленных на правительственные организации стран Восточной Европы. На данный момент существует несколько модификаций этой программы.

Согласно анализу ESET, в начале, замаскированный под легитимное российское приложение USB Disk Security файл-носитель (дроппер), в котором содержится USBStealer, инфицирует подключенный к интернету ПК правительственной организации. Затем дроппер проводит мониторинг на наличие съемных дисков и в случае обнаружения таковых копирует вредоносную программу на диск. Его файл автозапуска модифицирован таким образом, что выполнение USBStealer происходит при вставке диска в другой ПК. На этом этапе вредонос маркирует USB-накопитель как использованный на машине, подключенной к интернету.

При подключении к компьютеру с изолированной сетью, инфицированный накопитель внедряет в него вредоносную программу. Имя машины регистрируется на съемном диске, что позволяет преступникам определить устройства, к которым они могут получить доступ.

Когда USB-накопитель опять подключается к компьютеру с интернет-соединением, оператор вредоносной программы внедряет серию команд, предназначенных для извлечения данных. Исполнение этих команд начинается после подключения накопителя к ПК в закрытой сети.

Данная атака возможна только в том случае, если на компьютере жерты активирована функция автозапуска. По словам специалистов, в 2009 году в новом обновлении Windows эта функция была деактивирована, однако подобный метод действий может принести результаты, если учесть, что большинство изолированных компьютерных систем являются устаревшими из-за отсутствия интернет-подключения. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.