Промышленная безопасность
В июне 2021 года наши специалисты обнаружили новое вредоносное программное обеспечение, получившее название PseudoManuscrypt. Функциональность PseudoManuscrypt достаточно стандартна для шпионского ПО: оно умеет записывать нажатия на клавиатуру, собирать информацию об установленных VPN-подключениях, включая сохраненные пароли, регулярно крадет содержимое буфера обмена, записывает звук на встроенный микрофон (при его наличии) и делает скриншоты. В одном из вариантов зловреда добавлены возможности кражи учетных данных мессенджеров QQ и WeChat, записи видео с экрана для отслеживания действий пользователя, а также функция для попытки отключения защитных решений.
Технические подробности атаки и индикаторы компрометации можно найти в отчете на сайте нашего ICS CERT.
Происхождение названия
Наши эксперты обнаружили определенное сходство между новой атакой и уже известной кампанией Manuscrypt, но уже в процессе тщательного анализа выяснилось, что часть кода зловреда ранее была задействована в атаке совсем другого автора — группы APT41. Из-за этого однозначно установить авторство атаки пока не удалось, а новую кампанию условно назвали PseudoManuscrypt.
Такие сложности с атрибуцией представляют интерес сами по себе: как правило, они связаны с попытками одного коллектива атакующих сделать вид, что они принадлежат к совсем иной группировке. В целом тактика внедрения фальшивых признаков не очень нова.
Как PseudoManuscrypt попадает в систему
Довольно сложная цепочка событий, приводящая к успешному заражению компьютера, в данной атаке, как правило, начинается с загрузки и исполнения пользователем зловреда, имитирующего пиратский инсталлятор популярного программного обеспечения.
Попасться на удочку «псевдоманускрипта» можно в попытках найти пиратский софт в поисковых сервисах. Веб-сайты, распространяющие вредоносный код по соответствующим запросам, оказываются высоко в результатах поиска — судя по всему, организаторы атаки внимательно следят за этим.
Результаты поиска пиратской версии ПО, по первой же ссылке раздается PseudoManuscrypt. Источник.
Здесь же становится понятно, почему в итоге было зафиксировано так много попыток заражения промышленных систем. Помимо популярного ПО (офисный пакет, защитное решение, система навигации, 3D-шутер от первого лица), организаторы атаки маскируют свой зловред под фейковыe инсталляторы профессионального софта, в частности утилит для взаимодействия с программируемыми контроллерами (PLC) по шине ModBus. Результат — аномально высокое количество зараженных компьютеров с автоматизированными системами управления (ICS): 7,2% от общего числа.
В примере на скриншоте выше упоминается программное обеспечение для системных администраторов и сетевых инженеров. Теоретически такой подход может обеспечить взломщикам полный доступ к инфраструктуре компании.
Организаторы атаки также используют сервисы Malware-as-a-Service (MaaS), то есть платят другим киберпреступникам за распространение собственного ПО. При анализе платформы MaaS выяснилась интересная особенность: иногда PseudoManuscrypt попадался в сборниках разных зловредов, которые жертва устанавливала одним пакетом. Причем если цель PseudoManuscrypt — шпионаж, то у его «соседей» по этой вредоносной электричке могут быть иные задачи, в частности — шифрование данных с последующим требованием выкупа.
За кем охотится PseudoManuscrypt
Наибольшее число детектирований PseudoManuscrypt произошло в России, Индии, Бразилии, Вьетнаме и Индонезии. Из всего огромного количества попыток запустить вредоносный код значительное число приходится на промышленные организации. Среди пострадавших индустриальных предприятий были замечены управляющие системами автоматизации зданий, компании из энергетического сектора, компании, занятые в производстве, строительстве и даже контролирующие водоочистные сооружения. Кроме того, среди жертв было необычно много компьютеров, задействованных в процессах инженеринга, в создании и запуске в производство новых продуктов промышленных компаний.
Методы защиты от PseudoManuscrypt
Для защиты от PseudoManuscrypt необходимо чтобы на 100% систем на предприятии были установлены регулярно обновляемые защитные решения. Кроме того, следует внедрить политики, затрудняющие отключение защиты.
Для IT-систем в промышленности также существует специализированное решение Kaspersky Industrial CyberSecurity, обеспечивающее и защиту компьютеров (включая специализированные), и мониторинг обмена данными с использованием специфических протоколов на предмет попыток взлома.
Нельзя также забывать о работе с персоналом: коллег необходимо обучать базовым нормам безопасности. Если успешные фишинговые атаки невозможно исключить полностью, то объяснить опасность установки постороннего ПО (тем более пиратского) на компьютеры с доступом к промышленным системам — вполне реально.
Советы