Η ομάδα Sednit επιτίθεται ακόμη και σε υπολογιστές που δεν συνδέονται στο Internet
10:14 14/11/2014
- Πηγή: PC Nea
Οι ερευνητές της ESET® στο Μόντρεαλ ανακάλυψαν ακόμη μία δραστηριότητα της ομάδας κυβερνοκατασκοπείας Sednit, που της επιτρέπει να παραβιάζει απομονωμένους υπολογιστές.
Ένα μήνα μετά την ανακοίνωση στο WeLiveSecurity.com σχετικά με τη χρήση exploit kit από την ομάδα Sednit για επιθέσεις σε διάφορους οργανισμούς στην Ανατολική Ευρώπη, οι ερευνητές της ESET ενημερώνουν τώρα για το Win32/USBStealer, ένα εργαλείο που επιτρέπει στους κυβερνοεγκληματίες να επιτίθενται σε υπολογιστές που δεν είναι συνδεδεμένοι στο
Internet χρησιμοποιώντας αφαιρούμενα μέσα. Στο WeLiveSecurity.com της ESET, υπάρχει λεπτομερές άρθρο σχετικά με το USBStealer.
Η ESET ανίχνευσε το εργαλείο Win32/USBStealer, να επιτίθεται σε απομονωμένους υπολογιστές ή, όπως ονομάζονται, υπολογιστές που προστατεύονται με ένα «air gap», με στόχο να αποκτήσει πρόσβαση σε συγκεκριμένα αρχεία. Σύμφωνα με τους ερευνητές της εταιρίας, η ομάδα Sednit χρησιμοποιεί εδώ και δέκα χρόνια το εργαλείο αυτό με διάφορες διαβαθμίσεις πολυπλοκότητας.
Η μόλυνση μεταφέρεται από τον αρχικό υπολογιστή (Υπολογιστής Α) μέσω της σύνδεσης Internet στον στόχο - Υπολογιστή Β - με τη χρήση συσκευής USB. «Ο Υπολογιστής Α αρχικά μολύνεται με τον Win32/USBStealer και προσπαθεί να μιμηθεί ένα νόμιμο ρώσικο πρόγραμμα που λέγεται USB Disk Security, ώστε να παρακολουθεί την εισαγωγή αφαιρούμενων δίσκων» εξηγεί ο Joan Calvet σε σχετικό του άρθρο στο WeLiveSecurity.com.
Όταν εισάγεται δίσκος USB, το dropper αποκρυπτογραφεί δύο κομμάτια κώδικα που έχουν αποθηκευτεί στη μνήμη. Ο πρώτος είναι υπεύθυνος για να μπει το πρόγραμμα Win32/USBStealer στον αφαιρούμενο δίσκο με το όνομα «USBGuard.exe». Ο δεύτερος πόρος είναι ένα αρχείο AUTORUN.INF, το οποίο, μετά την εισαγωγή του μολυσμένου USB στον υπολογιστή-στόχο με ενεργοποιημένο AutoRun, επιτρέπει στο Win32/USBStealer να εγκατασταθεί και να εκτελέσει διαφορετικά βήματα για να αποκτήσει πρόσβαση σε συγκεκριμένα αρχεία του Υπολογιστή Β που βρίσκεται σε δίκτυο με «air gap». «Τα ονόματα των αρχείων που έχουν αναζητηθεί κατά την διαδικασία αυτόματης εξαγωγής αποδεικνύουν ότι υπάρχει πολύ καλή γνώση των στόχων», προσθέτει ο Joan Calvet.
Κατά το τελευταίο διάστημα, η ομάδα Sednit ευθύνεται για αρκετές επιθέσεις κυβερνοκατασκοπείας. Τον περασμένο μήνα η ESET ανακάλυψε ότι η ομάδα Sednit πραγματοποιούσε επιθέσεις watering-hole με τη χρήση ενός ειδικά διαμορφωμένου exploit kit, ενώ πριν τρεις εβδομάδες, τόσο η Trend Micro: Operation Pawn Storm και η FireEye: APT28 δημοσίευσαν εκθέσεις προειδοποιώντας για την αυξημένη δραστηριότητα της ομάδας αυτής στην περιοχή της Ανατολικής Ευρώπης.
Για περισσότερες πληροφορίες, επισκεφθείτε τη σελίδα της ESET: WeLiveSecurity.com.
Ένα μήνα μετά την ανακοίνωση στο WeLiveSecurity.com σχετικά με τη χρήση exploit kit από την ομάδα Sednit για επιθέσεις σε διάφορους οργανισμούς στην Ανατολική Ευρώπη, οι ερευνητές της ESET ενημερώνουν τώρα για το Win32/USBStealer, ένα εργαλείο που επιτρέπει στους κυβερνοεγκληματίες να επιτίθενται σε υπολογιστές που δεν είναι συνδεδεμένοι στο
Η ESET ανίχνευσε το εργαλείο Win32/USBStealer, να επιτίθεται σε απομονωμένους υπολογιστές ή, όπως ονομάζονται, υπολογιστές που προστατεύονται με ένα «air gap», με στόχο να αποκτήσει πρόσβαση σε συγκεκριμένα αρχεία. Σύμφωνα με τους ερευνητές της εταιρίας, η ομάδα Sednit χρησιμοποιεί εδώ και δέκα χρόνια το εργαλείο αυτό με διάφορες διαβαθμίσεις πολυπλοκότητας.
Η μόλυνση μεταφέρεται από τον αρχικό υπολογιστή (Υπολογιστής Α) μέσω της σύνδεσης Internet στον στόχο - Υπολογιστή Β - με τη χρήση συσκευής USB. «Ο Υπολογιστής Α αρχικά μολύνεται με τον Win32/USBStealer και προσπαθεί να μιμηθεί ένα νόμιμο ρώσικο πρόγραμμα που λέγεται USB Disk Security, ώστε να παρακολουθεί την εισαγωγή αφαιρούμενων δίσκων» εξηγεί ο Joan Calvet σε σχετικό του άρθρο στο WeLiveSecurity.com.
Όταν εισάγεται δίσκος USB, το dropper αποκρυπτογραφεί δύο κομμάτια κώδικα που έχουν αποθηκευτεί στη μνήμη. Ο πρώτος είναι υπεύθυνος για να μπει το πρόγραμμα Win32/USBStealer στον αφαιρούμενο δίσκο με το όνομα «USBGuard.exe». Ο δεύτερος πόρος είναι ένα αρχείο AUTORUN.INF, το οποίο, μετά την εισαγωγή του μολυσμένου USB στον υπολογιστή-στόχο με ενεργοποιημένο AutoRun, επιτρέπει στο Win32/USBStealer να εγκατασταθεί και να εκτελέσει διαφορετικά βήματα για να αποκτήσει πρόσβαση σε συγκεκριμένα αρχεία του Υπολογιστή Β που βρίσκεται σε δίκτυο με «air gap». «Τα ονόματα των αρχείων που έχουν αναζητηθεί κατά την διαδικασία αυτόματης εξαγωγής αποδεικνύουν ότι υπάρχει πολύ καλή γνώση των στόχων», προσθέτει ο Joan Calvet.
Κατά το τελευταίο διάστημα, η ομάδα Sednit ευθύνεται για αρκετές επιθέσεις κυβερνοκατασκοπείας. Τον περασμένο μήνα η ESET ανακάλυψε ότι η ομάδα Sednit πραγματοποιούσε επιθέσεις watering-hole με τη χρήση ενός ειδικά διαμορφωμένου exploit kit, ενώ πριν τρεις εβδομάδες, τόσο η Trend Micro: Operation Pawn Storm και η FireEye: APT28 δημοσίευσαν εκθέσεις προειδοποιώντας για την αυξημένη δραστηριότητα της ομάδας αυτής στην περιοχή της Ανατολικής Ευρώπης.
Για περισσότερες πληροφορίες, επισκεφθείτε τη σελίδα της ESET: WeLiveSecurity.com.
Keywords
υπολογιστες, ομαδα, eset, air, gap, usb, security, μνήμη, storm, Καλή Χρονιά, μνήμη, γνωση, ονοματα, πορος, προγραμμα, eset, αρθρο, εβδομαδες, βρισκεται, διαστημα, δικτυο, υπαρχει, εκθεσεις, ευρωπη, ονομα, συγκεκριμενα, βηματα, security, πληροφοριες, usb, storm
Τυχαία Θέματα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Pharma Innovators Forum
- Vodafone CU, Κερνάει Simply Burgers
- Συνεργασία Samsung-SAP
- Υποτροφίες ως έπαθλο σε διαδικτυακά τουρνουά από το Mediterranean College και την Battlenet Internet Station
- Teaser trailer για το Mordheim: City of the Damned
- Σε λίγες ημέρες διαθέσιμο το νέο Ashampoo HDD Control 3
- Η ομάδα Sednit επιτίθεται ακόμη και σε υπολογιστές που δεν συνδέονται στο Internet
- To LG F60 είναι τώρα διαθέσιμο στην ελληνική αγορά
- Συνεργασία Samsung-SAP στο Enterpise Mobility
- Το περιεχόμενο του The Crew Season Pass
- Δημοφιλέστερες Ειδήσεις PC Nea
- Τελευταία Νέα PC Nea
- Η ομάδα Sednit επιτίθεται ακόμη και σε υπολογιστές που δεν συνδέονται στο Internet
- Τo Spotify παρόν στα φετινά Social Media Awards
- Υποτροφίες ως έπαθλο σε διαδικτυακά τουρνουά από το Mediterranean College και την Battlenet Internet Station
- H devolo παρουσιάζει τη ναυαρχίδα της στο Powerline WiFi
- Ανακοίνωση Νικητών του Make Innovation Work
- Η πρώτη και μοναδική πιστοποίηση στη Συμβουλευτική Σχέσεων και Ζευγαριών από το Mediterranean College
- 1ος Διαγωνισμός Εκπαιδευτικής Ρομποτικής για παιδιά δημοτικού
- Ολοκληρωμένη λύση ηλεκτρονικής διασύνδεσης της Retail@Link στη Schneider Electric Ελλάδος
- To Microsoft Azure φιλοξενεί το e-shop της ΙΚΕΑ
- Η LG τιμήθηκε με 12 Βραβεία “Best of the Year” για το 2014
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- NeXt Player: Το 131 επεισόδιο είναι εδώ με το Παγκόσμιο Τελικό του LoL
- Συνεργασία Samsung-SAP στο Enterpise Mobility
- Συνεργασία Samsung-SAP
- Pharma Innovators Forum
- Το περιεχόμενο του The Crew Season Pass
- To LG F60 είναι τώρα διαθέσιμο στην ελληνική αγορά
- Σε λίγες ημέρες διαθέσιμο το νέο Ashampoo HDD Control 3
- Παιδιά, να οργανωθούμε
- Vodafone CU, Κερνάει Simply Burgers
- Teaser trailer για το Mordheim: City of the Damned