Атаки хакеров группы Sednit

Компания ESET опубликовала детали масштабной киберкампании хакерской группы Sednit, изученной ее специалистами. Злоумышленники не менее 10 лет атакуют защищенные корпоративные сети правительственных учреждений Восточной Европы.

Ранее группа Sednit распространяла вредоносное ПО путем компрометации легитимных сайтов, принадлежащих финансовым учреждениям Восточной Европы. Для этого злоумышленники использовали набор эксплойтов для удаленной установки ПО.

Как выяснилось недавно, хакеры проводят также атаки закрытых сетей с применением вредоносного ПО, которое распространяется через USB-накопители. Программа, которую антивирусные продукты ESET NOD32 детектируют как Win32/USBStealer, позволяет получать файлы и другие конфиденциальные данные с компьютеров, изолированных от Интернета. Для кражи данных с компьютера Win32/USBStealer использует многоступенчатый подход.

Для начала злоумышленники удаленно устанавливают Win32/USBStealer на компьютер пользователя, имеющего доступ к закрытой сети (компьютер А). Исполняемый файл маскируется под легитимное российское ПО USB Disk Security. Вредоносная программа отслеживает подключение USB-накопителя и проводит заражение. Затем пользователь подключает инфицированный USB-накопитель к изолированному компьютеру защищенной сети (компьютер В). После заражения вредоносная программа получает список файлов для передачи злоумышленникам. USB-накопитель возвращается в компьютер В со списком доступных файлов. На следующем шаге пользователь снова подключает USB-накопитель к компьютеру В, и вредоносная программа копирует на него нужные файлы. А при новом подключении накопителя к компьютеру А Win32/USBStealer отправит на удаленный сервер скопированные файлы.

Компоненты Win32/USBStealer добавлены в сигнатурную базу антивирусных продуктов ESET NOD32 и не представляют угрозы для пользователей.