Группа кибер-шпионов Sednit использует угрозы, распространяющиеся через USB-носители

Эксперты лаборатории ESET в Монреале обнаружили новую вредоносную активность известной киберпреступной группы Sednit, которая на протяжении последних лет активно атакует различные организации в Восточной Европе. Согласно полученным данным, хакеры стали использовать вредоносную программу Win32/USBStealer, которая позволяет атаковать компьютеры без доступа к Интернет-сети, с помощью съемного медиа-носителя. Таким образом, с помощью данной угрозы злоумышленники получают доступ к конфиденциальным файлам, специально хранящимся на изолированных компьютерах.

Как показал анализ, механизм заражения заключается в следующем. Первоначально Win32/USBStealer инфицирует компьютер А, подключенный к Интернет-сети. Затем через USB-носитель угроза передается на физически изолированный компьютер Б, который непосредственно представляет собой основную цель преступников. При этом, по словам исследователей ESET, после заражения компьютера А угроза Win32/USBStealer имитирует легитимную российскую антивирусную утилиту USB Disk Security для отслеживания использования съемных устройств.

После подключения USB-носителя угроза расшифровывает два своих ресурса в памяти. Первый устанавливает на съемный носитель программу Win32/USBStealer под названием «USBGuard.exe». Второй ресурс представляет собой файл AUTORUN.INF, который после подключения инфицированного USB-устройства в целевой компьютер с поддержкой автозапуска позволяет Win32/USBStealer осуществлять самоустановку и выполнять различные действия для получения доступа к определенным файлам с компьютера Б, размещенного в физически изолированной сети. Более того, имена искомых в процессе автоматического извлечения файлов свидетельствуют о точной заданной цели.

В последнее время группа хакеров Sednit стала более активной и совершила несколько крупных кибер-шпионских атак. Так, лишь в прошлом месяце специалисты ESET обнаружили, что известные уже киберпреступники стали использовать новый набор эксплойтов для распространения вредоносных программ. Подобные отчеты о вредоносной деятельности Sednit в Восточной Европе опубликовали также специалисты Trend Micro и FireEye.