eset logoEksperci ESET odkryli kolejne pole działalności grupy cyberprzestępców kryjących się pod nazwą Sednit. Miesiąc temu grupa ta wykorzystała stronę internetową polskiej instytucji finansowej do infekowania komputerów internautów, o czym jako pierwszy poinformował ESET. Tym razem odkryto, że grupa Sednit obrała za cel ataku maszyny znajdujące się w fizycznie odizolowanych od Internetu sieciach, tzw. ,,air-gapped networks”.

ESET oznaczył narzędzie stosowane przez grupę cyberprzestępców jako Win32/USBStealer. Zagrożenie atakuje pojedyncze komputery w tzw. ,,air-gapped networks”, czyli sieciach komputerów nie podłączonych do Internetu. Celem zagrożenia jest uzyskanie dostępu do określonych plików. USBStealer przenoszony jest z komputera (A) z dostępem do Internetu do komputera (B) bez dostępu do sieci przy użyciu nośnika wymiennego, np. pendrive’a czy dysku przenośnego.

Komputer A początkowo zostaje zainfekowany zagrożeniem USBStealer, które próbuje naśladować rosyjski program o nazwie USB Disk Security. Ten prawdziwy chroni komputer przed zainfekowaniem, natomiast ten od cyberprzestępców infekuje maszynę. Po zagnieżdżeniu się w systemie Win32/USBStealer monitoruje wszystkie dyski wymienne podłączane do komputera. Po włożeniu dysku USB do komputera A, zagrożenie kopiuje się na dysk wymienny w postaci pliku o nazwie ,,USBGuard.exe”. Tworzy na dysku wymiennym także plik o nazwie „autorun.inf”, który odpowiada za uruchomienie zagrożenia po podłączeniu wymiennego nośnika USB do komputera B. Win32/USBStealer wykonuje różne czynności w celu uzyskania dostępu do określonych plików z komputera, np. tych, w których przechowywane są prywatne klucze wykorzystywane do szyfrowania danych.

Eksperci bezpieczeństwa ESET podkreślają, że grupa Sednit atakuje różne instytucje, w większości zlokalizowane w Europie Wschodniej, od przynajmniej 5 lat. W ubiegłym miesiącu eksperci ESET jako pierwsi odkryli, że cyberprzestępcy przeprowadzili atak za pośrednictwem strony internetowej znanej polskiej instytucji finansowej. Wykorzystywali do tego celu zestaw exploitów o nazwie Sedkit. Najnowsze zagrożenie od grupy Sednit jest wykrywane i blokowane przez programy antywirusowe ESET.

źródło: ESET.pl