Неизвестные киберпреступники используют USB-накопители для шпионажа в Азии

Исследователи безопасности Лаборатории Касперского обнаружили новую кампанию под названием TetrisPhantom, в ходе которой защищенные USB-накопители используются для атаки на правительственные системы стран Азиатско-Тихоокеанского региона.

Защищенные USB-накопители хранят файлы в зашифрованной части устройства и используются для безопасной передачи данных между системами, в том числе в изолированной среде. Доступ к защищенному разделу осуществляется с помощью специализированного ПО, которое расшифровывает содержимое на основе пароля, предоставленного пользователем. Одной из таких программ является UTetris.exe, которая находится в незашифрованной части USB-накопителя.

Специалисты обнаружили зараженные троянами версии приложения UTetris, развернутые на защищенных USB-устройствах в ходе кампании, которая длилась как минимум несколько лет и была нацелена на правительства стран Азиатско-Тихоокеанского региона. TetrisPhantom использует различные инструменты, команды и компоненты вредоносного ПО, указывающие на высококвалифицированную и хорошо финансируемую группировку.

По словам исследователей, атака включает в себя сложные инструменты и методы, в том числе:

• программную обфускацию компонентов вредоносного ПО на основе виртуализации;
• низкоуровневую связь с USB-накопителем с использованием прямых команд SCSI;
• саморепликацию через подключенные защищенные USB-накопители для распространения на другие изолированные системы;
• внедрение кода в легитимную программу управления доступом на USB-накопителе, которая действует как загрузчик вредоносного ПО на новом компьютере

Лаборатория Касперского также предоставила дополнительные детали атаки с использованием зараженного приложения Utetris, которая начинается с выполнения на целевой машине полезной нагрузки под названием AcroShell. Нагрузка устанавливает линию связи с сервером управления и контроля (Command and Control, C2), может получать и выполнять дополнительные полезные нагрузки для кражи документов и конфиденциальных файлов, а также собирать сведения об используемых USB-накопителях.

Злоумышленники также используют собранную информацию для исследования и разработки другого вредоносного ПО, называемого XMKR, и трояна UTetris.exe. Модуль XMKR развертывается на компьютере с ОС Windows и ответственен за заражение защищённых USB-накопителей, подключенных к системе, с целью распространения атаки на потенциально изолированные системы.

Возможности XMKR на устройстве включают кражу файлов в шпионских целях и запись данных на USB-накопители. Информация о скомпрометированном USB-накопителе затем попадает на C2-сервер, когда устройство хранения данных подключается к подключенному к Интернету компьютеру, зараженному AcroShell.

Специалисты подтвердили, что атаки продолжаются уже несколько лет, и главной целью TetrisPhantom является шпионаж. Исследователи отмечают небольшое количество заражённых правительственных сетей, что указывает на целенаправленную операцию.