«Лаборатория Касперского» выявила масштабную серию шпионских атак, затрагивающих промышленные организации по всему миру

«Лаборатория Касперского» выявила масштабную серию шпионских атак, затрагивающих промышленные организации по всему миру

Эксперты Kaspersky ICS CERT обнаружили вредоносное ПО, которое с 20 января по 10 ноября 2021 года атаковало более 35 тысяч компьютеров в 195 странах. Программа получила название PseudoManuscrypt, поскольку её загрузчик схож с загрузчиком зловреда Manuscrypt, входящего в арсенал Lazarus. В числе атакованных — значительное число промышленных и государственных организаций, включая предприятия военно-промышленного комплекса и исследовательские лаборатории. Не менее 7,2% компьютеров, атакованных PseudoManuscrypt, являются частью систем промышленной автоматизации (АСУ ТП) в организациях различных отраслей.


Промышленные предприятия — привлекательная мишень для злоумышленников, атаки на них сулят как прямую финансовую выгоду, так и позволяют рассчитывать на доступ к ценной информации. В 2021 году отмечен значительный интерес к промышленным предприятиям не только со стороны вымогателей и прочего киберкриминала, но и со стороны APT, таких как Lazarus и APT41.


Загрузчик PseudoManuscrypt попадает в систему посредством Malware-as-a-Service (MaaS) платформы, которая распространяет вредоносные инсталляторы под видом пиратского ПО. В ряде случаев это происходило через ботнет Glupteba (основной установщик которого также распространяется под видом пиратского ПО). Основной вредоносный модуль PseudoManuscrypt обладает множеством шпионских функций, в том числе может красть данные VPN-соединений, регистрировать нажатия клавиш, создавать снимки и записи видео с экрана, записывать звук с микрофона, красть данные из буфера обмена и данные журнала событий операционной системы (что также делает возможным кражу данных о RDP-подключениях).


В числе атакованных компьютеров много тех, которые относятся к инжинирингу, включая системы физического и 3D-моделирования, разработки и использования цифровых двойников. Это позволяет предположить, что одна из возможных целей кампании — промышленный шпионаж.


Любопытно сочетание двух фактов. Во-первых, загрузчик PseudoManuscrypt имеет общие черты с загрузчиком вредоносной программы Manuscrypt, использованной Lazarus в атаках 2020 года на оборонные предприятия различных стран, во-вторых, для передачи украденных данных на сервер злоумышленников PseudoManuscrypt использует реализацию редкого протокола KCP, которая ранее была замечена только в составе вредоносного ПО, применяемого APT41.
Отсутствие явного фокуса в распространении и, как следствие, большое количество жертв, не характерное для целевых киберкампаний, не позволяет однозначно связать данную кампанию с Lazarus или какой-либо другой APT.


«Это очень необычная кампания, и мы всё ещё анализируем имеющуюся информацию. Однако один факт очевиден: это угроза, на которую специалистам необходимо обратить внимание. Она затронула десятки тысяч компьютеров и смогла распространиться на тысячи компьютеров АСУ ТП, скомпрометировав множество промышленных организаций по всему миру. Мы продолжим своё исследование и будем держать сообщество по кибербезопасности в курсе дела», — комментирует Вячеслав Копейцев, эксперт «Лаборатории Касперского» по защите промышленных предприятий.


Чтобы снизить риск атаки PseudoManuscrypt, эксперты Kaspersky ICS CERT рекомендуют предприятиям:
-  установить решение для защиты конечных устройств на всех серверах и рабочих станциях;
-  удостовериться, что все компоненты решения для защиты конечных устройств включены и что в организации действует политика запроса пароля администратора при попытке отключения защиты;
-  убедиться, что политиками Active Directory установлены ограничения для входа пользователей на компьютеры в сети. Пользователям должен быть разрешён вход только в те системы, доступ к которым обусловлен рабочей необходимостью;
-  ограничить сетевые подключения, в том числе VPN, между объектами технологической сети, запретить подключения ко всем портам, работа которых не требуется для выполнения технологического процесса;
-  использовать смарт-карты (токены) или одноразовые коды в качестве второго фактора аутентификации для создания VPN-подключения. В тех случаях, где это применимо, использовать технологию Access Control List (ACL) для ограничения списка IP-адресов, с которых может быть инициировано VPN-подключение;
-  проводить обучение сотрудников предприятия безопасной работе с интернетом, электронной почтой и другими источниками и каналами передачи информации, в частности разъяснять последствия загрузки и запуска файлов, полученных из недоверенных источников;
-  использовать учётные записи с правами локальных администраторов и администраторов домена только в случае производственной необходимости;
-  обращаться к сервисам класса Managed Detection and Response для получения оперативного доступа к знаниям и опыту высококлассных экспертов и технологиям анализа аномалий и обнаружения угроз, используемым в инфраструктуре производителей решений по кибербезопасности;
-  использовать специальную защиту для технологического процесса. Решение Kaspersky Industrial CyberSecurity защищает промышленные конечные узлы и позволяет сетевому мониторингу технологической сети выявлять и пресекать вредоносную активность.


Больше узнать о кампании PseudoManuscrypt можно по ссылке: https://ics-cert.kaspersky.ru/reports/2021/12/16/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign/.
 

 

 ( Sos.şəbəkədə gedən yazışmanin FOTO-ƏKSİndə olan qramatik və məzmun səhvlərinə görə redaksiya məsuliyyət daşımır ) 
 Bütün hüquqlar qorunur ! Xəbərlərdən istifadə edərkən    www.AZpress.AZ    saytına istinad zəruridir !