Μέχρι σήμερα, είχαμε συνηθίσει οι μυριάδες μορφές κακόβουλου λογισμικού να διαδίδονται μέσω του Internet, σε ποικίλες συσκευές που είναι συνδεδεμένες με αυτό. Τον τελευταίο καιρό όμως, και πιο συγκεκριμένα από την ομάδα κυβερνο-κατασκοπείας «Sendit», άρχισε να εμφανίζεται μια νέα μορφή επίθεσης/μόλυνσης που ανακάλυψε η ESET, δυστυχώς όχι μέσω του Διαδικτύου αλλά δια των αποθηκευτικών συσκευών που κάνουν χρήση της θύρας USB – η οποία ως γνωστό, διαθέτει κάθε υπολογιστής.
Ένα μήνα μετά την ανακοίνωση στο «WeLiveSecurity.com» σχετικά με τη χρήση exploit kit από την ομάδα Sednit για επιθέσεις σε διάφορους οργανισμούς στην Ανατολική Ευρώπη, οι ερευνητές της ESET ενημερώνουν τώρα για το «Win32/USBStealer», ένα εργαλείο που επιτρέπει στους κυβερνοεγκληματίες να επιτίθενται σε υπολογιστές που δεν είναι συνδεδεμένοι στο Διαδίκτυο χρησιμοποιώντας αφαιρούμενα μέσα.
Η ESET ανίχνευσε το εργαλείο Win32/USBStealer, να επιτίθεται σε απομονωμένους υπολογιστές ή όπως ονομάζονται, υπολογιστές που προστατεύονται με ένα «air gap», με στόχο να αποκτήσει πρόσβαση σε συγκεκριμένα αρχεία. Αναφέραμε προηγουμένως ότι η νέα αυτή μορφή επίθεσης είναι νέα, στην πραγματικότητα όμως νέα είναι η ανακάλυψή της και όχι η χρήση της, καθώς σύμφωνα με τους ερευνητές της εταιρίας ESET, η ομάδα Sednit χρησιμοποιεί εδώ και δέκα χρόνια το εργαλείο αυτό με διάφορες διαβαθμίσεις πολυπλοκότητας.
Η μόλυνση μεταφέρεται από τον αρχικό υπολογιστή (Υπολογιστής Α) μέσω της σύνδεσης Internet στον στόχο, τον Υπολογιστή Β, με τη χρήση μιας συσκευής USB. «Ο Υπολογιστής Α αρχικά μολύνεται με τον Win32/USBStealer και προσπαθεί να μιμηθεί ένα νόμιμο ρώσικο πρόγραμμα που λέγεται ‘USB Disk Security’, ώστε να παρακολουθεί την εισαγωγή αφαιρούμενων δίσκων» εξηγεί ο Joan Calvet.
Όταν εισάγεται δίσκος USB, το dropper αποκρυπτογραφεί δύο κομμάτια κώδικα που έχουν αποθηκευτεί στη μνήμη. Ο πρώτος είναι υπεύθυνος για να μπει το πρόγραμμα Win32/USBStealer στον αφαιρούμενο δίσκο με το όνομα «USBGuard.exe». Ο δεύτερος πόρος, είναι ένα αρχείο AUTORUN.INF, το οποίο μετά την εισαγωγή του μολυσμένου USB στον υπολογιστή-στόχο με ενεργοποιημένο AutoRun, επιτρέπει στο Win32/USBStealer να εγκατασταθεί και να εκτελέσει διαφορετικά βήματα, ώστε να αποκτήσει πρόσβαση σε συγκεκριμένα αρχεία του Υπολογιστή Β που βρίσκεται σε δίκτυο με air gap. «Τα ονόματα των αρχείων που έχουν αναζητηθεί κατά την διαδικασία αυτόματης εξαγωγής αποδεικνύουν ότι υπάρχει πολύ καλή γνώση των στόχων», προσθέτει ο Joan Calvet.
Κατά το τελευταίο διάστημα, η ομάδα Sednit ευθύνεται για αρκετές επιθέσεις κυβερνοκατασκοπείας. Τον περασμένο μήνα η ESET ανακάλυψε ότι η ομάδα Sednit πραγματοποιούσε επιθέσεις watering-hole με τη χρήση ενός ειδικά διαμορφωμένου exploit kit, ενώ πριν τρεις εβδομάδες, τόσο η Trend Micro:
Operation Pawn Storm και η FireEye: APT28, δημοσίευσαν εκθέσεις προειδοποιώντας για την αυξημένη δραστηριότητα της ομάδας αυτής στην περιοχή της Ανατολικής Ευρώπης.
Όπως κάθε φορά, συστήνεται ύψιστη προσοχή στην χρήση του Διαδικτύου, ποιες «πόρτες» του τοπικού δικτύου είναι ανοιχτές σε αυτό, ενώ πλέον, οι υπεύθυνοι ΙΤ των εταιρειών καλούνται να διαχειριστούν και την απειλή μέσω της θύρας USB.
Περισσότερες πληροφορίες:
http://www.welivesecurity.com/2014/11/11/sednit-espionage-group-attacking-air-gapped-networks/
http://www.welivesecurity.com/2014/10/08/sednit-espionage-group-now-using-custom-exploit-kit/
