ESET: zagrożenia internetowe X 2014

Przeczytaj także: ESET: zagrożenia internetowe IX 2014

Eksperci ESET odkryli kolejne pole działalności grupy cyberprzestępców kryjących się pod nazwą Sednit. Tym razem grupa obrała za cel ataku maszyny znajdujące się w fizycznie odizolowanych od Internetu sieciach, tzw. ,,air-gapped networks”.

ESET oznaczył narzędzie stosowane przez grupę cyberprzestępców jako Win32/USBStealer. Zagrożenie atakuje pojedyncze komputery w tzw. ,,air-gapped networks”, czyli sieciach komputerów nie podłączonych do Internetu. Celem zagrożenia jest uzyskanie dostępu do określonych plików. USBStealer przenoszony jest z komputera (A) z dostępem do Internetu do komputera (B) bez dostępu do sieci przy użyciu nośnika wymiennego, np. pendrive’a czy dysku przenośnego.

Komputer A początkowo zostaje zainfekowany zagrożeniem USBStealer, które próbuje naśladować rosyjski program o nazwie USB Disk Security. Ten prawdziwy chroni komputer przed zainfekowaniem, natomiast ten od cyberprzestępców infekuje maszynę. Po zagnieżdżeniu się w systemie Win32/USBStealer monitoruje wszystkie dyski wymienne podłączane do komputera. Po włożeniu dysku USB do komputera A, zagrożenie kopiuje się na dysk wymienny w postaci pliku o nazwie ,,USBGuard.exe”. Tworzy na dysku wymiennym także plik o nazwie „autorun.inf”, który odpowiada za uruchomienie zagrożenia po podłączeniu wymiennego nośnika USB do komputera B. Win32/USBStealer wykonuje różne czynności w celu uzyskania dostępu do określonych plików z komputera, np. tych, w których przechowywane są prywatne klucze wykorzystywane do szyfrowania danych.

Eksperci bezpieczeństwa ESET podkreślają, że grupa Sednit atakuje różne instytucje, w większości zlokalizowane w Europie Wschodniej, od przynajmniej 5 lat.