Na pocz?tku 2020 r. odnotowano seri? ataków ukierunkowanych na organizacje przemys?owe w ró?nych regionach ?wiata. Wed?ug najnowszych ustale? zespo?u Kaspersky ICS CERT ich celem by?y systemy w Japonii, W?oszech, Niemczech oraz Wielkiej Brytanii. W?ród atakowanych organizacji znale?li si? dostawcy sprz?tu oraz oprogramowania dla przedsi?biorstw przemys?owych. Badanie wykaza?o, ?e atakuj?cy stosowali szkodliwe dokumenty Microsoft Office, skrypty PowerShell oraz ró?ne techniki w celu utrudnienia wykrycia i analizy swojego szkodliwego oprogramowania – ??cznie ze steganografi?, pomys?ow? technik? ukrywania danych, która pozwala zatai? istnienie jakichkolwiek informacji.
Ataki wymierzone w obiekty przemys?owe w naturalny sposób zwracaj? uwag? spo?eczno?ci zwi?zanej z cyberbezpiecze?stwem: s? wyrafinowane i skupiaj? si? na okre?lonym rodzaju firm o krytycznym znaczeniu. Jakiekolwiek zak?ócenie dzia?ania takich firm mo?e prowadzi? do ró?nych niepo??danych konsekwencji, od skutecznego szpiegostwa przemys?owego po dotkliwe straty finansowe.
Nie inaczej by?o w przypadku analizowanej serii ataków. Wiadomo?ci phishingowe, wykorzystane jako pierwotny wektor ataku, zosta?y dostosowane pod wzgl?dem j?zykowym do indywidualnych ofiar. Zastosowane podczas ataku szkodliwe oprogramowanie wykonywa?o destrukcyjne dzia?ania tylko wtedy, gdy lokalizacja systemu operacyjnego odpowiada?a j?zykowi, w którym stworzono wiadomo?? phishingow?. Na przyk?ad w przypadku ataku na firm? z Japonii tekst wiadomo?ci phishngowej oraz dokumentu Microsoft Office zawieraj?cego szkodliwy kod by? napisany w j?zyku japo?skim. Ponadto, aby mo?liwe by?o odszyfrowanie modu?u szkodliwego oprogramowania, równie? system operacyjny musia? by? zlokalizowany w j?zyku japo?skim.
Dok?adniejsza analiza wykaza?a, ?e atakuj?cy wykorzystywali narz?dzie Mimikatz w celu kradzie?y danych uwierzytelniaj?cych konta systemu Windows. Informacje te mog? zosta? u?yte do uzyskania dost?pu do innych systemów w sieci przedsi?biorstwa oraz zaplanowania ataków. Szczególnie niebezpieczna mo?e by? sytuacja, gdy przest?pcy uzyskaj? dost?p do kont z uprawnieniami administratora domeny.
We wszystkich wykrytych przypadkach szkodliwe oprogramowanie zosta?o zablokowane przez rozwi?zania bezpiecze?stwa firmy Kaspersky, uniemo?liwiaj?c dalsz? aktywno?? atakuj?cych. W efekcie ostateczny cel przest?pców pozostaje nieznany. Eksperci z zespo?u Kaspersky ICS CERT nadal monitoruj? nowe, podobne przypadki. Osoby, które mia?y do czynienia z takim atakiem, mog? zg?osi? go za po?rednictwem formularza dost?pnego na stronie internetowej firmy Kaspersky.
Opisywany atak zwraca uwag? ze wzgl?du na zastosowanie kilku niestandardowych rozwi?za? technicznych. Na przyk?ad modu? szkodliwego oprogramowania jest zakodowany wewn?trz pliku graficznegao przy u?yciu metod steganografii, a sam obrazek jest dystrybuowany z legalnych zasobów WWW. To wszystko sprawia, ?e wykrycie pobrania takiego szkodliwego oprogramowania przy zastosowaniu monitorowania ruchu sieciowego oraz narz?dzi kontroli jest praktycznie niemo?liwe: z punktu widzenia rozwi?za? technicznych taka aktywno?? nie ró?ni si? od zwyk?ego dost?pu przyznanego legalnemu hostingowi grafiki. W po??czeniu z ukierunkowanym charakterem infekcji techniki te wskazuj? na wyrafinowan? i selektywn? natur? ataków. Niepokoj?ce jest to, ?e w?ród ofiar znajduj? si? podwykonawcy z bran?y przemys?owej. Je?li dane uwierzytelniaj?ce pracowników takiej organizacji wpadn? w niepowo?ane r?ce, mo?e to doprowadzi? do wielu negatywnych konsekwencji, pocz?wszy od kradzie?y poufnych danych, a sko?czywszy na atakach na przedsi?biorstwa przemys?owe za po?rednictwem wykorzystywanych przez wykonawc? narz?dzi zdalnej administracji – powiedzia? Wiaczes?aw Kopiejcew, ekspert ds. cyberbezpiecze?stwa z firmy Kaspersky.
