«Лаборатория Касперского» выявила масштабную серию шпионских атак, затрагивающих промышленные организации по всему миру

Эксперты Kaspersky ICS CERT обнаружили вредоносное ПО, которое с 20 января по 10 ноября 2021 года атаковало более 35 тысяч компьютеров в 195 странах, включая Россию

Программа получила название PseudoManuscrypt, поскольку её загрузчик схож с загрузчиком зловреда Manuscrypt, входящего в арсенал Lazarus. В числе атакованных — значительное число промышленных и государственных организаций, включая предприятия военно-промышленного комплекса и исследовательские лаборатории. Не менее 7,2% компьютеров, атакованных PseudoManuscrypt, являются частью систем промышленной автоматизации (АСУ ТП) в организациях различных отраслей.

Промышленные предприятия — привлекательная мишень для злоумышленников, атаки на них сулят как прямую финансовую выгоду, так и позволяют рассчитывать на доступ к ценной информации. В 2021 году отмечен значительный интерес к промышленным предприятиям не только со стороны вымогателей и прочих киберпреступников, но и со стороны APT, таких как Lazarus и APT41.

Загрузчик PseudoManuscrypt попадает в систему посредством платформы Malware-as-a-Service (MaaS), которая распространяет вредоносные инсталляторы под видом пиратского ПО. В ряде случаев это происходило через ботнет Glupteba (основной установщик которого также распространяется под видом пиратского ПО). Основной вредоносный модуль PseudoManuscrypt обладает множеством шпионских функций, в том числе может красть данные VPN-соединений, регистрировать нажатия клавиш, создавать снимки и записи видео с экрана, записывать звук с микрофона, красть данные из буфера обмена и данные журнала событий операционной системы (что также делает возможным кражу данных о RDP-подключениях).

В числе атакованных компьютеров много тех, которые относятся к инжинирингу, включая системы физического и 3D-моделирования, разработки и использования цифровых двойников. Это позволяет предположить, что одна из возможных целей кампании — промышленный шпионаж.

Любопытно сочетание двух фактов. Во-первых, загрузчик PseudoManuscrypt имеет общие черты с загрузчиком вредоносной программы Manuscrypt, использованной Lazarus в атаках 2020 года на оборонные предприятия различных стран. Во-вторых, для передачи украденных данных на сервер злоумышленников PseudoManuscrypt использует реализацию редкого протокола KCP, которая ранее была замечена только в составе вредоносного ПО, применяемого APT41.

Отсутствие явного фокуса в распространении и, как следствие, большое количество жертв, не характерное для целевых киберкампаний, не позволяет однозначно связать данную кампанию с Lazarus или какой-либо другой APT.

«Это очень необычная кампания, и мы всё ещё анализируем имеющуюся информацию. Однако один факт очевиден: это угроза, на которую специалистам необходимо обратить внимание. Она затронула десятки тысяч компьютеров и смогла распространиться на тысячи компьютеров АСУ ТП, скомпрометировав множество промышленных организаций по всему миру. Мы продолжим своё исследование и будем держать сообщество по кибербезопасности в курсе дела», — комментирует Вячеслав Копейцев, эксперт «Лаборатории Касперского» по защите промышленных предприятий.

Чтобы снизить риск атаки PseudoManuscrypt, эксперты Kaspersky ICS CERT рекомендуют предприятиям:

-установить решение для защиты конечных устройств на всех серверах и рабочих станциях;

-удостовериться, что все компоненты решения для защиты конечных устройств включены и что в организации действует политика запроса пароля администратора при попытке отключения защиты;

-убедиться, что политиками Active Directory установлены ограничения для входа пользователей на компьютеры в сети. Пользователям должен быть разрешён вход только в те системы, доступ к которым обусловлен рабочей необходимостью;

-ограничить сетевые подключения, в том числе VPN, между объектами технологической сети, запретить подключения ко всем портам, работа которых не требуется для выполнения технологического процесса;

-использовать смарт-карты (токены) или одноразовые коды в качестве второго фактора аутентификации для создания VPN-подключения. В тех случаях, где это применимо, использовать технологию Access Control List (ACL) для ограничения списка IP-адресов, с которых может быть инициировано VPN-подключение;

-проводить обучение сотрудников предприятия безопасной работе с интернетом, электронной почтой и другими источниками и каналами передачи информации, в частности разъяснять последствия загрузки и запуска файлов, полученных из недоверенных источников;

-использовать учётные записи с правами локальных администраторов и администраторов домена только в случае производственной необходимости;

-обращаться к сервисам класса Managed Detection and Response для получения оперативного доступа к знаниям и опыту высококлассных экспертов, а также технологиям анализа аномалий и обнаружения угроз, используемым в инфраструктуре производителей решений в области кибербезопасности;

-использовать специальную защиту для технологического процесса. Решение Kaspersky Industrial CyberSecurity защищает промышленные конечные узлы и позволяет сетевому мониторингу технологической сети выявлять и пресекать вредоносную активность.

Материал подготовлен АО "Лаборатория Касперского"