Myślisz, że komputer bez dostępu do sieci jest bezpieczny? Mylisz się!

Eksperci ESET odkryli kolejne pole działalności grupy cyberprzestępców kryjących się pod nazwą Sednit. Miesiąc temu grupa ta wykorzystała stronę internetową polskiej instytucji finansowej do infekowania komputerów internautów, o czym jako pierwszy poinformował ESET. Tym razem odkryto, że grupa Sednit obrała za cel ataku maszyny znajdujące się w fizycznie odizolowanych od Internetu sieciach, tzw. ,,air-gapped networks”.

ESET oznaczył narzędzie stosowane przez grupę cyberprzestępców jako Win32/USBStealer. Zagrożenie atakuje pojedyncze komputery w tzw. ,,air-gapped networks”, czyli sieciach komputerów nie podłączonych do Internetu. Celem zagrożenia jest uzyskanie dostępu do określonych plików. USBStealer przenoszony jest z komputera (A) z dostępem do Internetu do komputera (B) bez dostępu do sieci przy użyciu nośnika wymiennego, np. pendrive’a czy dysku przenośnego.

Komputer A początkowo zostaje zainfekowany zagrożeniem USBStealer, które próbuje naśladować rosyjski program o nazwie USB Disk Security. Ten prawdziwy chroni komputer przed zainfekowaniem, natomiast ten od cyberprzestępców infekuje maszynę. Po zagnieżdżeniu się w systemie Win32/USBStealer monitoruje wszystkie dyski wymienne podłączane do komputera. Po włożeniu dysku USB do komputera A, zagrożenie kopiuje się na dysk wymienny w postaci pliku o nazwie ,,USBGuard.exe”. Tworzy na dysku wymiennym także plik o nazwie „autorun.inf”, który odpowiada za uruchomienie zagrożenia po podłączeniu wymiennego nośnika USB do komputera B. Win32/USBStealer wykonuje różne czynności w celu uzyskania dostępu do określonych plików z komputera, np. tych, w których przechowywane są prywatne klucze wykorzystywane do szyfrowania danych.

Eksperci bezpieczeństwa ESET podkreślają, że grupa Sednit atakuje różne instytucje, w większości zlokalizowane w Europie Wschodniej, od przynajmniej 5 lat. W ubiegłym miesiącu eksperci ESET jako pierwsi odkryli, że cyberprzestępcy przeprowadzili atak za pośrednictwem strony internetowej znanej polskiej instytucji finansowej. Wykorzystywali do tego celu zestaw exploitów o nazwie Sedkit. Najnowsze zagrożenie od grupy Sednit jest wykrywane i blokowane przez programy antywirusowe ESET.