W czerwcu 2021 r. nasi specjaliści wykryli nowe szkodliwe oprogramowanie o nazwie PseudoManuscrypt. Stosowane przez niego metody są dość standardowe dla oprogramowania szpiegującego; działa ono jako keylogger, zbiera informacje o nawiązanych połączeniach VPN i zapisanych hasłach, kradnie zawartość schowka, nagrywa dźwięk za pomocą wbudowanego mikrofonu (jeśli jest obecny w komputerze) i przechwytuje obrazy. Jeden z wariantów może również kraść dane logowania do komunikatorów QQ i WeChat, przechwytywać wideo z ekranu, jak również ma funkcję, która próbuje wyłączyć rozwiązania bezpieczeństwa. Następnie wysyła dane do serwera kontrolowanego przez atakujących.
Szczegółowe informacje techniczne związane z atakami oraz wskaźniki naruszenia bezpieczeństwa można znaleźć w naszym raporcie ICS CERT.
Pochodzenie nazwy
Nasi eksperci odkryli pewne podobieństwa między nowym atakiem a znaną już kampanią Manuscrypt, jednak podczas analizy okazało się także, że wcześniej zupełnie inne ugrupowanie, o nazwie APT41, wykorzystywało już w swoich atakach część kodu tego szkodliwego oprogramowania. Jeszcze nie ustaliliśmy, kto jest odpowiedzialny za nowy atak, a póki co nadaliśmy mu nazwę „PseudoManuscrypt”.
Jak PseudoManuscrypt infekuje system?
Skuteczna infekcja opiera się na dość złożonym łańcuchu zdarzeń. Zwykle atak na komputer rozpoczyna się, gdy użytkownik pobiera i uruchamia szkodliwe oprogramowanie, które imituje piracki pakiet instalacyjny popularnego oprogramowania.
Na PseudoManuscrypt można trafić, szukając w internecie pirackiego oprogramowania. Strony rozpowszechniające szkodliwy kod pasujący do popularnych zapytań zajmują wysokie miejsce w wynikach wyszukiwania, co z pewnością monitoruje osoba zajmująca się atakami.
Dlaczego miało miejsce tak wiele prób zainfekowania systemów przemysłowych? Oprócz dostarczania szkodliwego oprogramowania udającego popularne oprogramowanie (takie jak pakiety biurowe, rozwiązania bezpieczeństwa, systemy nawigacji i gry z gatunku strzelanki pierwszoosobowe 3D) atakujący oferują również fałszywe pakiety instalacyjne dla profesjonalnego oprogramowania, w tym niektóre narzędzia do interakcji z programowalnymi sterownikami logicznymi (PLC) za pomocą ModBus. Rezultat: niezwykle wysoka liczba zainfekowanych komputerów przemysłowych systemów kontroli (7,2% ogółu).
Przykład na powyższym zrzucie ekranu pokazuje oprogramowanie dla administratorów systemu i inżynierów sieci. Teoretycznie taki wektor ataku mógłby zapewnić atakującym pełny dostęp do infrastruktury firmy.
Atakujący wykorzystują również mechanizm dostarczania szkodliwego oprogramowania w postaci usługi (ang. Malware-as-a-Service, MaaS), płacąc innym cyberprzestępcom za dystrybucję PseudoManuscrypt. Praktyka ta dała początek interesującej funkcji, którą nasi eksperci odkryli podczas analizy platformy MaaS: czasami PseudoManuscrypt był powiązany z innym szkodliwym oprogramowaniem, które ofiara zainstalowała jako pojedynczy pakiet. Celem szkodnika PseudoManuscrypt jest szpiegowanie, jednak inne szkodliwe programy mają inne zadanie, na przykład szyfrowanie danych w celu wyłudzenia pieniędzy.
Gdzie atakuje PseudoManuscrypt?
Największa liczba wykryć oprogramowania PseudoManuscrypt miała miejsce w Rosji, Indiach, Brazylii, Wietnamie i Indonezji. Znaczny odsetek ogromnej liczby prób uruchomienia szkodliwego kodu stanowią użytkownicy w organizacjach przemysłowych. Ofiarami w tym sektorze są menedżerowie systemów automatyki budynkowej, firmy energetyczne, producenci, firmy budowlane, a nawet dostawcy usług dla stacji uzdatniania wody. Ponadto niezwykle duża liczba zainfekowanych komputerów miała związek z procesami inżynieryjnymi oraz produkcją nowych produktów w firmach przemysłowych.
Jak zapewnić sobie ochronę przed PseudoManuscryptem?
Aby chronić się przed oprogramowaniem PseudoManuscrypt, należy korzystać z niezawodnego i regularnie aktualizowanego rozwiązania ochronnego, które musi być zainstalowane na wszystkich systemach w firmie. Ponadto zalecamy wprowadzenie zasad, które utrudniają wyłączenie ochrony.
Jeśli chodzi o systemy IT w przemyśle, oferujemy specjalistyczne rozwiązanie, Kaspersky Industrial CyberSecurity, które zarówno chroni komputery (w tym specjalistyczne), jak i monitoruje przesyłanie danych z wykorzystaniem określonych protokołów.
Należy również pamiętać o podnoszeniu świadomości personelu na temat zagrożeń dla cyberbezpieczeństwa. Nie można całkowicie wykluczyć podatności na ataki phishingowe, jednak można pomóc pracownikom w zachowaniu czujności, a także edukować, jakie niebezpieczeństwo niesie ze sobą instalowanie nieautoryzowanego (a zwłaszcza pirackiego) oprogramowania na komputerach z dostępem do systemów przemysłowych.