Myślisz, że komputer bez dostępu do sieci jest bezpieczny? Mylisz się!
Eksperci odkryli kolejne pole działalności grupy cyberprzestępców kryjących się pod nazwą Sednit. Miesiąc temu grupa ta wykorzystała stronę internetową polskiej instytucji finansowej do infekowania komputerów internautów. Tym razem odkryto, że grupa Sednit obrała za cel ataku maszyny znajdujące się w fizycznie odizolowanych od internetu sieciach, tzw. ,,air-gapped networks”.
Specjaliści z firmy Eset oznaczyli narzędzie stosowane przez grupę cyberprzestępców jako Win32/USBStealer. Zagrożenie atakuje pojedyncze komputery w tzw. ,,air-gapped networks”, czyli sieciach komputerów nie podłączonych do internetu. Celem zagrożenia jest uzyskanie dostępu do określonych plików. USBStealer przenoszony jest z komputera (A) z dostępem do internetu do komputera (B) bez dostępu do sieci przy użyciu nośnika wymiennego, np. pendrive’a czy dysku przenośnego.
Komputer A początkowo zostaje zainfekowany zagrożeniem USBStealer, które próbuje naśladować rosyjski program o nazwie USB Disk Security. Ten prawdziwy chroni komputer przed zainfekowaniem, natomiast ten od cyberprzestępców infekuje maszynę. Po zagnieżdżeniu się w systemie Win32/USBStealer monitoruje wszystkie dyski wymienne podłączane do komputera.
Po włożeniu dysku USB do komputera A, zagrożenie kopiuje się na dysk wymienny w postaci pliku o nazwie ,,USBGuard.exe”. Tworzy na dysku wymiennym także plik o nazwie „autorun.inf”, który odpowiada za uruchomienie zagrożenia po podłączeniu wymiennego nośnika USB do komputera B. Win32/USBStealer wykonuje różne czynności w celu uzyskania dostępu do określonych plików z komputera, np. tych, w których przechowywane są prywatne klucze wykorzystywane do szyfrowania danych.
Eksperci bezpieczeństwa podkreślają, że grupa Sednit atakuje różne instytucje, w większości zlokalizowane w Europie Wschodniej, od przynajmniej 5 lat.
