Szeroko zakrojona kampania cyberszpiegowska uderza w tysiące komputerów przemysłowych na całym świecie.
W okresie od 20 stycznia do 10 listopada 2021 r. eksperci z firmy Kaspersky wykryli nowe szkodliwe oprogramowanie, które zaatakowało ponad 35 000 komputerów w 195 państwach. Szkodnik otrzymał nazwę PseudoManuscrypt ze względu na podobieństwo do narzędzia Manuscrypt wykorzystywanego przez zaawansowany cybergang Lazarus. PseudoManuscrypt posiada zaawansowane umiejętności szpiegowania, a wśród jego celów znajdują się zarówno organizacje rządowe, jak i przemysłowe systemy sterowania w różnych branżach. Polska znalazła się w pierwszej dwudziestce krajów, w których zidentyfikowano najwięcej infekcji.
Organizacje przemysłowe to jedne z najbardziej pożądanych celów cyberprzestępców – zarówno ze względu na korzyści finansowe, jak i możliwość kradzieży cennych danych. W 2021 r. badacze z firmy Kaspersky zaobserwowali znaczący wzrost zainteresowania organizacjami przemysłowymi wśród znanych cybergangów, takich jak Lazarus czy APT41. Badając inny ciąg ataków, eksperci odkryli nowy szkodliwy program wykazujący pewne podobieństwa do szkodnika Manuscrypt wykorzystanego przez ugrupowanie Lazarus w kampanii ThreatNeedle wymierzonej w sektor obronny. Dlatego nowy szkodliwy kod otrzymał nazwę PseudoManuscrypt.
W okresie od 20 stycznia do 10 listopada 2021 r. produkty firmy Kaspersky zablokowały szkodliwe oprogramowanie PseudoManuscrypt na ponad 35 000 komputerach w 195 krajach. Polska znalazła się na 17 miejscu listy krajów z największą liczbą infekcji (1,3%). Wiele celów tych ataków stanowiły organizacje przemysłowe i rządowe, w tym przedsiębiorstwa militarno-przemysłowe oraz laboratoria badawcze. Ponad 7% zaatakowanych komputerów wchodziło w skład przemysłowych systemów sterowania, przy czym najczęściej atakowanymi branżami były inżynieria oraz automatyzacja budownictwa.
PseudoManuscrypt jest początkowo pobierany na atakowane systemy za pośrednictwem fałszywych, nielegalnie skopiowanych instalatorów oprogramowania – niektóre z nich mają związek z narzędziami dla konkretnych przemysłowych systemów sterowania. Fałszywe instalatory są prawdopodobnie dostarczane za pośrednictwem rozbudowanej platformy obsługiwanej przez cyberprzestępców świadczących usługi innym atakującym – Malware-as-a-Service (MaaS). Co ciekawe, w niektórych przypadkach PseudoManuscrypt został zainstalowany za pośrednictwem sieci zainfekowanych urządzeń (tzw. botnet). Po wstępnym osadzeniu się w systemie PseudoManuskrypt inicjuje skomplikowany łańcuch właściwej infekcji, który ostatecznie pobiera główny szkodliwy moduł. Eksperci z firmy Kaspersky zidentyfikowali dwa warianty tego modułu. Oba posiadają zaawansowane możliwości szpiegujące, łącznie z przechwytywaniem znaków wprowadzanych z klawiatury, kradzieżą danych ze schowka, przechwytywaniem danych uwierzytelniania VPN (i potencjalnie RDP), wykonywaniem zrzutów zawartości ekranu itd.
Ataki nie są wycelowane w określone branże, jednak duża liczba zainfekowanych komputerów przemysłowych, w tym systemów wykorzystywanych do modelowania 3D oraz modelowania fizycznego, sugeruje, że celem cyberprzestępców może być szpiegostwo przemysłowe.
Co ciekawe, niektóre z ofiar są powiązane z firmami, które wcześniej były atakowane przez cybergang Lazarus w ramach wspomnianej wcześniej kampanii ThreatNeedle, a dane są wysyłane do serwera cyberprzestępców za pośrednictwem rzadkiego protokołu z wykorzystaniem biblioteki, która wcześniej była stosowana jedynie w przypadku szkodliwego oprogramowania ugrupowania APT41. Niemniej jednak, biorąc pod uwagę dużą liczbę ofiar oraz brak wyraźnego ukierunkowania działań, badacze z firmy Kaspersky nie łączą tej kampanii z ugrupowaniem Lazarus ani z żadnym innym znanym cybergangiem.
Mamy do czynienia z wysoce nietypową kampanią i wciąż jesteśmy na etapie łączenia różnych posiadanych przez nas informacji. Jedno nie ulega wątpliwości – obserwujemy zagrożenie, które wymaga uwagi specjalistów. Zdołało ono przedostać się do tysięcy komputerów przemysłowych, w tym wielu należących do znanych organizacji. Będziemy kontynuować nasze dochodzenie, informując społeczność związaną z bezpieczeństwem o wszelkich nowych ustaleniach – powiedział Wiaczesław Kopcjejew, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają firmom następujące działania pozwalające zabezpieczyć się przed szkodliwym oprogramowaniem PseudoManuscrypt:
- Zainstaluj oprogramowanie do ochrony punktów końcowych na wszystkich serwerach i stacjach roboczych.
- Sprawdź, czy we wszystkich systemach są włączone wszystkie komponenty ochrony punktów końcowych oraz czy stosowana jest zasada wymagająca podania hasła administratora, gdy ktoś próbuje wyłączyć oprogramowanie.
- Sprawdź, czy zasady Active Directory zawierają ograniczenia dotyczące prób zalogowania się do systemu przez użytkowników. Użytkownikom należy zezwolić na logowanie się jedynie do tych systemów, do których potrzebują dostępu w związku z wykonywaną pracą.
- Ogranicz połączenia sieciowe, w tym z VPN, pomiędzy systemami w sieci przemysłowej (OT). Zablokuj połączenia na wszystkich portach, które nie są wymagane dla ciągłości i bezpieczeństwa operacji.
- Podczas ustanawiania połączenia VPN stosuj inteligentne karty (tokeny) lub jednorazowe kody jako drugi składnik uwierzytelnienia. W stosownych przypadkach wykorzystaj technologię Access Control List (ACL) w celu ograniczenia listy adresów IP, z których można zainicjować połączenie VPN.
- Wyedukuj pracowników przedsiębiorstwa w zakresie bezpiecznej pracy z internetem, pocztą e-mail oraz innymi kanałami komunikacji, w szczególności wyjaśnij im potencjalne konsekwencje pobierania i uruchamiania plików z niezweryfikowanych źródeł. Można w tym celu wykorzystać zautomatyzowaną platformę szkoleniową, taką jak Kaspersky Automated Security Awareness Platform (ASAP).
- Korzystaj z kont z uprawnieniami lokalnego administratora oraz administratora domeny wyłącznie gdy jest to konieczne do wykonania obowiązków związanych z pracą.
- Stosuj wyspecjalizowaną ochronę przeznaczoną dla systemów sterowania produkcją. Kaspersky Industrial CyberSecurity chroni przemysłowe punkty końcowe i umożliwia monitorowanie sieci w celu zidentyfikowania i zablokowania szkodliwej aktywności.