[xfnotgiven_antivir_box]

Хакеры группировки Sednit добывают сведения с изолированных от интернет-сети компьютеров

Специалистами ESET были раскрыты детали масштабной киберзлодейской кампании хакеров из группы Sednit. В течение как минимум 10 лет они атакуют находящиеся под защитой корпоративные сети восточноевропейских правительственных учреждений.

Раньше группа Sednit занималась распространением вредонесущих программ посредством компрометации вполне легитимных веб-сайтов, принадлежащих разного рода финансовым учреждениям, работающим в Восточной Европе. С этой целью злоумышленниками использовался набор эксплойтов, предназначенных для удаленной установки вредонесущего ПО.

Не так давно специалистам ESET удалось выяснить, что хакерами осуществляются еще и атаки на закрытые сети с применением зловредного ПО, распространяемого через всевозможные USB-накопители. Данная программа позволяет выкрадывать файлы и иные конфиденциальные данные с ПК, которые изолированы от интернета. Антивирусные решения ESET NOD32 определяют её в качестве Win32/USBStealer.

Для выкрадывания данных с ПК жертвы этот вирус применяет многоступенчатый подход:

1) Сначала злоумышленники дистанционно ставят Win32/USBStealer на пользовательский компьютер (того человека, что имеет доступ к некой закрытой сети – это компьютер А). Исполняемый файл при этом маскируется под вполне легитимное русское ПО USB Disk Security. Вредонесущая программа отслеживает момент подключения USB-накопителя и в доли секунды производит заражение.

2) Стоит пользователю подключить зараженный USB-накопитель к находящемуся в изоляции от интернета ПК защищенной сети (т. е. компьютеру В), как вредоносная программа заражает устройство, получая список файлов для последующей передачи его злоумышленникам.

3) Далее USB-накопитель вновь возвращается во все тот же компьютер В с перечнем доступных файлов.

4) Когда пользователь в очередной раз подключает USB-накопитель к своему компьютеру В, вирус копирует на флешку нужные файлы.

5) В случае последующего подключения накопителя к ПК А программа-вредонос незамедлительно отправит на принадлежащий киберзлодеям удаленный сервер все скопированные ею файлы.

Компоненты зловреда Win32/USBStealer уже добавлены в вирусную базу продуктов ESET NOD32 и более не представляют реальной угрозы для интернет-пользователей.

Источник: www.esetnod32.ru