Хакеры группы Sednit воруют данные из изолированных от Интернета компьютеров
Специалисты ESET раскрыли детали масштабной киберкампании хакерской группы Sednit. Не менее 10 лет злоумышленники атакуют защищёные корпоративные сети правительственных учреждений Восточной Европы.
Ранее группа осуществляла распространение вредоносных программ путём компрометации легитимных сайтов, которые принадлежат финансовым учреждениям Восточной Европы. Для этого злоумышленники использовали набор эксплойтов для удалённой установки вредоносного ПО.
Недавно специалисты ESET выяснили, что хакеры осуществляют также атаки закрытых сетей с применением вредоносного ПО, которое распространяется через USB-накопители. Программа позволяет получать файлы и другие конфиденциальные данные с компьютеров, изолированных от интернета. Антивирусные продукты ESET NOD32 определяют её как Win32/USBStealer.
Для кражи данных с компьютера жертвы Win32/USBStealer использует многоступенчатый подход:
-
Злоумышленники удалённо устанавливают Win32/USBStealer на компьютер человека, который имеет доступ к закрытой сети (компьютер А). При этом исполняемый файл маскируется под легитимное российское ПО USB Disk Security. Вредоносная программа отслеживает подключения USB-накопителя и мгновенно выполняет заражения.
-
Пользователь подключает зараженный USB к изолированному компьютеру защищённой сети (компьютер). После заражения вредоносная программа получает список файлов для передачи злоумышленникам.
-
USB-накопитель возвращается в компьютер со списком доступных файлов.
-
Пользователь снова подключает USB-накопитель к компьютеру, и вредоносная программа копирует на него нужные файлы.
-
При новом подключении накопителя к компьютеру А Win32/USBStealer отправляет на удалённый сервер скопированые файлы.