Αυτό το προηγμένο εργαλείο εξάγει δεδομένα από air-gapped συστήματα, ανοίγοντας τον δρόμο για την ανάπτυξη εργαλείων τρίτου σταδίου που συλλέγουν και μεταδίδουν τα δεδομένα που έχουν συγκεντρώσει.
Η έρευνα εντόπισε δύο συγκεκριμένους τύπους εμφυτευμάτων για το δεύτερο στάδιο της επίθεσης, εξάγοντας δεδομένα από μολυσμένα συστήματα. Ένας από τους τύπους εμφυτευμάτων φαίνεται να είναι ένα εξελιγμένο αρθρωτό κακόβουλο λογισμικό, που στοχεύει στη δημιουργία προφίλ αφαιρούμενων μονάδων δίσκου και τη μόλυνσή τους με ένα worm για την εξαγωγή δεδομένων από απομονωμένα ή air-gapped δίκτυα βιομηχανικών οργανισμών στην Ανατολική Ευρώπη. Ο άλλος τύπος εμφυτεύματος έχει σχεδιαστεί για την κλοπή δεδομένων από τοπικό υπολογιστή και την αποστολή τους στο Dropbox με τη βοήθεια των εμφυτευμάτων επόμενου σταδίου.
Το κακόβουλο λογισμικό που έχει σχεδιαστεί αποκλειστικά για την εξαγωγή δεδομένων από air-gapped συστήματα μολύνοντας αφαιρούμενες μονάδες δίσκου αποτελείται από τουλάχιστον τρεις ενότητες, καθεμία από τις οποίες είναι υπεύθυνη για διαφορετικές εργασίες, όπως δημιουργία προφίλ και χειρισμό αφαιρούμενων μονάδων δίσκου, λήψη στιγμιότυπων οθόνης και εγκατάσταση κακόβουλου λογισμικού δεύτερου σταδίου σε νεοσυνδεδεμένες μονάδες.
Καθ' όλη τη διάρκεια της έρευνας, οι ερευνητές της Kaspersky παρατήρησαν τις σκόπιμες προσπάθειες των απειλητικών φορέων να αποφύγουν τον εντοπισμό και την ανάλυση. Αυτό το πέτυχαν με την απόκρυψη του ωφέλιμου φορτίου σε κρυπτογραφημένη μορφή σε ξεχωριστά δυαδικά αρχεία δεδομένων και την ενσωμάτωση κακόβουλου κώδικα στη μνήμη νόμιμων εφαρμογών μέσω DLL hijacking και μιας αλυσίδας εγχύσεων μνήμης.
«Οι σκόπιμες προσπάθειες του απειλητικού φορέα να συγκαλύπτει τις ενέργειές του μέσω κρυπτογραφημένων ωφέλιμων φορτίων, εγχύσεων μνήμης και DLL hijacking μπορεί να φαίνεται ότι υπογραμμίζουν την πολυπλοκότητα της τακτικής τους. Αν και η εξαγωγή δεδομένων από air-gapped δίκτυα είναι μια επαναλαμβανόμενη στρατηγική που υιοθετείται από πολλές APT και στοχευμένες εκστρατείες κυβερνοκατασκοπείας, αυτήν τη φορά έχει σχεδιαστεί και εφαρμοστεί μοναδικά από τον απειλητικό φορέα. Καθώς η έρευνα συνεχίζεται, η Kaspersky παραμένει πιστή στη δέσμευσή της για προστασία από στοχευμένες επιθέσεις στον κυβερνοχώρο και στη συνεργασία με την κοινότητα της κυβερνοασφάλειας για τη διάδοση πληροφοριών που μπορούν να αξιοποιηθούν», σχολιάζει ο Kirill Kruglov, Senior Security Researcher της Kaspersky ICS CERT.
Για να διαβάσετε την πλήρη αναφορά για το δεύτερο στάδιο της εκστρατείας, επισκεφτείτε τον ιστότοπο ICS CERT.