Κινέζοι κρατικά υποστηριζόμενοι χάκερς έχουν βάλει στο στόχαστρο βιομηχανικούς οργανισμούς με νέο κακόβουλο λογισμικό που μπορεί να κλέψει δεδομένα από εναέρια συστήματα. Τα air-gapped συστήματα εκπληρώνουν συνήθως κρίσιμους ρόλους και είναι απομονωμένα από το δίκτυο της επιχείρησης και το δημόσιο διαδίκτυο είτε φυσικά είτε μέσω λογισμικού και συσκευών δικτύου.

Ερευνητές της εταιρείας κυβερνοασφάλειας Kaspersky ανακάλυψαν το νέο κακόβουλο λογισμικό και το απέδωσαν στην ομάδα κυβερνοκατασκοπείας APT31, γνωστή και ως Zirconium.

Δείτε επίσης :Η πιθανή ύπαρξη κινεζικού malware σε συστήματα των ΗΠΑ αποτελεί «ωρολογιακή βόμβα»

Σύμφωνα με τα ευρήματα, οι χάκερς χρησιμοποίησαν τουλάχιστον 15 διαφορετικά εμφυτεύματα σε επιθέσεις στην Ανατολική Ευρώπη, το καθένα για ένα ξεχωριστό στάδιο της επιχείρησης, καθώς και την υπογραφή της οικογένειας κακόβουλου λογισμικού “FourteenHi”.

Επιθέσεις πολλαπλών σταδίων

Η Kaspersky ανέφερε ότι η APT31, ξεκίνησε μια επίθεση τριών σταδίων τον περασμένο Απρίλιο. Το πρώτο στάδιο δημιούργησε απομακρυσμένη πρόσβαση και συνέλεξε δεδομένα. Το δεύτερο στάδιο περιελάμβανε την κλοπή δεδομένων από απομονωμένα συστήματα με τη χρήση USB propagation. Το τρίτο στάδιο ανέβασε τα δεδομένα που συλλέχθηκαν στους servers των χάκερ. Το malware που στόχευε απομονωμένα συστήματα είχε τέσσερις ενότητες: σκιαγράφηση προφίλ αφαιρούμενων μονάδων, μόλυνση αφαιρούμενων μονάδων, συλλογή δεδομένων από τη συσκευή και μια παραλλαγή της πρώτης ενότητας που λειτουργούσε ως payload dropper, keylogger, εργαλείο λήψης στιγμιότυπων οθόνης και κλοπή αρχείων.

Πρόταση: Hackers κλέβουν data από air-gapped υπολογιστές

Τον Μάιο του 2022, η Kaspersky παρατήρησε ένα πρόσθετο εμφύτευμα που χρησιμοποιήθηκε στις επιθέσεις του APT31, σχεδιασμένο να συλλέγει τοπικά αρχεία από συστήματα που παραβιάστηκαν.

Αυτό το εμφύτευμα αποκρυπτογραφεί και εισάγει το payload του στη μνήμη μιας νόμιμης διεργασίας για να αποφύγει την ανίχνευση κακόβουλου λογισμικού, στη συνέχεια παραμένει σε κατάσταση ύπνου για 10 λεπτά και τελικά αντιγράφει όλα τα αρχεία που ταιριάζουν με τις επεκτάσεις τύπου αρχείου που ορίζονται στη διαμόρφωσή του.

Τα κλεμμένα αρχεία αρχειοθετούνται με τη χρήση του WinRAR (εάν δεν είναι διαθέσιμα, το κακόβουλο λογισμικό εξέρχεται) και στη συνέχεια αποθηκεύονται σε προσωρινούς τοπικούς φακέλους που δημιουργούνται από το κακόβουλο λογισμικό στο “C:\ProgramData\NetWorks\”. Τελικά, τα αρχεία μεταφέρονται στο Dropbox.

Η Kaspersky υπογραμμίζει ότι οι επιθέσεις ήταν μυστικές και απαριθμεί τις ακόλουθες τακτικές, τεχνικές και διαδικασίες (TTP): Κατάχρηση εντολών DLL για τη φόρτωση κακόβουλων payloads στη μνήμη και απόκρυψη payloads σε κρυπτογραφημένη μορφή σε ξεχωριστά δυαδικά αρχεία δεδομένων.

Η εταιρεία παρέχει μια τεχνική έκθεση που περιλαμβάνει πρόσθετα δεδομένα, όπως hashes malware, ένα πλήρες σύνολο δεικτών συμβιβασμού και λεπτομέρειες σχετικά με τη δραστηριότητα του κακόβουλου λογισμικού από την αρχή έως το τέλος.

Τα συστήματα με αεροσφραγίδα αποτελούν ελκυστικό στόχο για τις ομάδες APT, οι οποίες συνήθως στρέφονται σε μονάδες USB για να μεταφέρουν κακόβουλο λογισμικό και να εξαφανίσουν δεδομένα από το απομονωμένο περιβάλλον.

Διαβάστε επίσης: Η Κινεζική ομάδα hacking APT31 στοχεύει γαλλικούς οργανισμούς

πηγή πληροφοριών:bleepingcomputer.com