Эта кибератака неожиданно затронула огромное число промышленных систем.
В июне 2021 г. наши эксперты обнаружили новое шпионское программное обеспечение, получившее название PseudoManuscrypt. На первый взгляд, функции у него стандартные: запись нажатия на клавиатуру, сбор данных о VPN-сессиях, считывание сохраненных паролей, кража буфера обмена, запись звука на микрофон (при его наличии), снятие скриншотов. В одном из вариантов зловреда можно украсть учетные данные мессенджеров QQ и WeChat, записать видео с экрана и даже отключить защиту.
Технические подробности атаки и индикаторы компрометации можно найти в отчете на сайте нашего ICS CERT.
Происхождение названия
Наши эксперты обнаружили сходство между этой атакой и уже известной кампанией Manuscrypt, но уже в процессе анализа выяснилось, что часть кода зловреда ранее была задействована в атаке совсем другого автора — группы APT41. Из-за этого однозначно установить авторство атаки пока не удалось, а новую кампанию условно назвали PseudoManuscrypt.
Такие сложности с атрибуцией представляют интерес сами по себе: часто они связаны с попытками одного коллектива атакующих сделать вид, что они принадлежат к совсем иной группировке. В целом тактика внедрения фальшивых признаков не очень нова.
Как PseudoManuscrypt попадает в систему
К успешному заражению приводит сложная цепочка событий. Запускается она обычно загрузкой и исполнением зловреда, имитирующего пиратский инсталлятор популярного программного обеспечения.
Попасться на удочку можно в попытках найти пиратский софт в поисковых сервисах. Сайты, распространяющие вредоносный код по определенным запросам, оказываются высоко в результатах поиска. Организаторы атаки, судя по всему, внимательно следят за этим.
Понятно, почему было столько попыток заражения промышленных систем. Кроме популярного ПО (офис, навигация, защитные решения), атакующие маскируют зловред под инсталлятор софта — утилит для взаимодействия с программируемыми контроллерами (PLC) по шине ModBus. Результат — аномально много зараженных машин с автоматизированными системами управления (ICS): 7,2% от общего числа. На скрине выше упоминается ПО для сисадминистраторов и сетевых инженеров. Такой подход может обеспечить взломщикам полный доступ к инфраструктуре компании.
Атакующие используют сервисы Malware-as-a-Service (MaaS), т.е. платят другим киберпреступникам за распространение собственного ПО. При анализе платформы выяснилось, что иногда PseudoManuscrypt попадался в сборниках зловредов, которые жертва устанавливала одним пакетом. Причем если цель PseudoManuscrypt — шпионаж, то у его «соседей» по этой вредоносной электричке могут быть иные задачи, в частности — шифрование данных с последующим требованием выкупа.
За кем охотится PseudoManuscrypt
Наибольшее число детектирований PseudoManuscrypt произошло в России, Индии, Бразилии, Вьетнаме и Индонезии. Из всего огромного количества попыток запустить вредоносный код значительное число приходится на промышленные организации. Среди пострадавших индустриальных предприятий были замечены управляющие системами автоматизации зданий, компании из энергетического сектора, компании, занятые в производстве, строительстве и даже контролирующие водоочистные сооружения. Кроме того, среди жертв было много необычно много компьютеров, задействованных в процессах инженеринга, в создании и запуске в производство новых продуктов промышленных компаний.
Методы защиты от PseudoManuscrypt
Для защиты от PseudoManuscrypt необходимо чтобы на 100% систем на предприятии были установлены регулярно обновляемые защитные решения. Кроме того, следует внедрить политики, затрудняющие отключение защиты.
Для IT-систем в промышленности также существует специализированное решение Kaspersky Industrial CyberSecurity, обеспечивающее и защиту компьютеров (включая специализированные), и мониторинг обмена данными с использованием специфических протоколов на предмет попыток взлома.
Нельзя также забывать о работе с персоналом: коллег необходимо обучать базовым нормам безопасности. Если успешные фишинговые атаки невозможно исключить полностью, то объяснить опасность установки постороннего ПО (тем более пиратского) на компьютеры с доступом к промышленным системам — вполне реально.