Експерти лабораторії ESET в Монреалі виявили нову шкідливу активність відомої групи кіберзлочинців Sednit, яка впродовж останніх років активно атакує різні організації в Східній Європі. Згідно з отриманими даними, хакери стали використовувати шкідливу програму Win32/USBStealer, яка дозволяє атакувати комп'ютери без доступу до Інтернет-мережі, за допомогою змінного медіа-носія. Таким чином, за допомогою даної загрози зловмисники отримують доступ до конфіденційних файлів, які спеціально зберігаються на ізольованих комп'ютерах.
Як показав аналіз, механізм зараження полягає в наступному. Спочатку Win32/USBStealer інфікує комп'ютер А, підключений до Інтернет-мережі. Потім через USB-носій загроза передається на фізично ізольований комп'ютер Б, який безпосередньо представляє собою основну мету злочинців. При цьому, за словами дослідників ESET, після зараження комп'ютера А загроза Win32/USBStealer імітує легітимну російську антивірусну утиліту USB Disk Security для відстеження використання змінних пристроїв.
Після підключення USB-носія загроза розшифровує два своїх ресурси в пам'яті. Перший встановлює на змінний носій програму Win32/USBStealer під назвою «USBGuard.exe». Другий ресурс представляє собою файл AUTORUN.INF, який після підключення інфікованого USB-пристрою до цільового комп'ютера з підтримкою автозапуску дозволяє Win32/USBStealer здійснювати самоінсталяцію та виконувати різні дії для отримання доступу до певних файлів з комп'ютера Б, розміщеного в фізично ізольованій мережі. Більш того, імена шуканих в процесі автоматичного вилучення файлів свідчать про точну задану ціль.
Останнім часом група хакерів Sednit стала активнішою та зробила кілька великих кібер-шпигунських атак. Так, лише минулого місяця спеціалісти ESET виявили, що відомі вже кіберзлочинці стали використовувати новий набір експлойтів для розповсюдження шкідливих програм. Подібні звіти про шкідливу діяльність Sednit у Східній Європі опублікували також фахівці Trend Micro та FireEye.