Исследователи ИБ-компании ESET проанализировали вредоносный инструмент, который одна из подозреваемых в связи с Российским правительством группировок, известная как “Sednit”, “APT 28” и “Sofasy”, использовала для хищения ценной информации из физически изолированных сетей.
Специалисты изучили вредоносную программу под названием Win 32/USBStealer, которая использовалась злоумышленниками по крайней мере с 2005 г. в кампаниях, нацеленных на правительственные организации стран Восточной Европы. На данный момент существует несколько модификаций этой программы.
Согласно анализу ESET, в начале, замаскированный под легитимное российское приложение USB Disk Security файл-носитель (дроппер), в котором содержится USBStealer, инфицирует подключенный к интернету ПК правительственной организации. Затем дроппер проводит мониторинг на наличие съемных дисков и в случае обнаружения таковых копирует вредоносную программу на диск. Его файл автозапуска модифицирован таким образом, что выполнение USBStealer происходит при вставке диска в другой ПК. На этом этапе вредонос маркирует USB-накопитель как использованный на машине, подключенной к интернету.
При подключении к компьютеру с изолированной сетью, инфицированный накопитель внедряет в него вредоносную программу. Имя машины регистрируется на съемном диске, что позволяет преступникам определить устройства, к которым они могут получить доступ.
Когда USB-накопитель опять подключается к компьютеру с интернет-соединением, оператор вредоносной программы внедряет серию команд, предназначенных для извлечения данных. Исполнение этих команд начинается после подключения накопителя к ПК в закрытой сети. Данная атака возможна только в том случае, если на компьютере жертвы активирована функция автозапуска. По словам специалистов, в 2009 г. в новом обновлении Windows эта функция была деактивирована, однако подобный метод действий может принести результаты, если учесть, что большинство изолированных компьютерных систем являются устаревшими из-за отсутствия интернет-подключения. (ESET/NovostIT)
