Οι ερευνητές της ESET® στο Μόντρεαλ ανακάλυψαν ακόμη μία δραστηριότητα της ομάδας κυβερνοκατασκοπείας Sednit, που της επιτρέπει να παραβιάζει απομονωμένους υπολογιστές.
Ένα μήνα μετά την ανακοίνωση στο WeLiveSecurity.com σχετικά με τη χρήση exploit kit από την ομάδα Sednit για επιθέσεις σε διάφορους οργανισμούς στην Ανατολική Ευρώπη, οι ερευνητές της ESET ενημερώνουν τώρα για το Win32/USBStealer, ένα εργαλείο που επιτρέπει στους κυβερνοεγκληματίες να επιτίθενται σε υπολογιστές που δεν είναι συνδεδεμένοι στο Internet χρησιμοποιώντας αφαιρούμενα μέσα. Στο WeLiveSecurity.com της ESET, υπάρχει λεπτομερές άρθρο σχετικά με το USBStealer.
Η ESET ανίχνευσε το εργαλείο Win32/USBStealer, να επιτίθεται σε απομονωμένους υπολογιστές ή, όπως ονομάζονται, υπολογιστές που προστατεύονται με ένα «air gap», με στόχο να αποκτήσει πρόσβαση σε συγκεκριμένα αρχεία. Σύμφωνα με τους ερευνητές της εταιρίας, η ομάδα Sednit χρησιμοποιεί εδώ και δέκα χρόνια το εργαλείο αυτό με διάφορες διαβαθμίσεις πολυπλοκότητας.
Η μόλυνση μεταφέρεται από τον αρχικό υπολογιστή (Υπολογιστής Α) μέσω της σύνδεσης Internet στον στόχο – Υπολογιστή Β – με τη χρήση συσκευής USB. «Ο Υπολογιστής Α αρχικά μολύνεται με τον Win32/USBStealer και προσπαθεί να μιμηθεί ένα νόμιμο ρώσικο πρόγραμμα που λέγεται USB Disk Security, ώστε να παρακολουθεί την εισαγωγή αφαιρούμενων δίσκων» εξηγεί ο Joan Calvet σε σχετικό του άρθρο στο WeLiveSecurity.com.
Όταν εισάγεται δίσκος USB, το dropper αποκρυπτογραφεί δύο κομμάτια κώδικα που έχουν αποθηκευτεί στη μνήμη. Ο πρώτος είναι υπεύθυνος για να μπει το πρόγραμμα Win32/USBStealer στον αφαιρούμενο δίσκο με το όνομα «USBGuard.exe». Ο δεύτερος πόρος είναι ένα αρχείο AUTORUN.INF, το οποίο, μετά την εισαγωγή του μολυσμένου USB στον υπολογιστή-στόχο με ενεργοποιημένο AutoRun, επιτρέπει στο Win32/USBStealer να εγκατασταθεί και να εκτελέσει διαφορετικά βήματα για να αποκτήσει πρόσβαση σε συγκεκριμένα αρχεία του Υπολογιστή Β που βρίσκεται σε δίκτυο με «air gap». «Τα ονόματα των αρχείων που έχουν αναζητηθεί κατά την διαδικασία αυτόματης εξαγωγής αποδεικνύουν ότι υπάρχει πολύ καλή γνώση των στόχων», προσθέτει ο Joan Calvet.
Κατά το τελευταίο διάστημα, η ομάδα Sednit ευθύνεται για αρκετές επιθέσεις κυβερνοκατασκοπείας. Τον περασμένο μήνα η ESET ανακάλυψε ότι η ομάδα Sednit πραγματοποιούσε επιθέσεις watering-hole με τη χρήση ενός ειδικά διαμορφωμένου exploit kit, ενώ πριν τρεις εβδομάδες, τόσο η Trend Micro: Operation Pawn Storm και η FireEye: APT28 δημοσίευσαν εκθέσεις προειδοποιώντας για την αυξημένη δραστηριότητα της ομάδας αυτής στην περιοχή της Ανατολικής Ευρώπης.