Rozsáhlá spywarová kampaň ohrožuje tisíce počítačů průmyslových řídicích systémů po celém světě

Nazvali jej „PseudoManuscrypt“ kvůli jeho podobnosti s malwarem Manuscrypt skupiny Lazarus, která stojí za pokročilými perzistentními hrozbami (APT).

Tento nový malware obsahuje různé špionážní funkce a zaměřuje se na skupinu vládních organizací i průmyslových řídicích systémů (ICS) v mnoha různých odvětvích.

Související

Lukáš Bauer

Výpočetní úložiště aneb kde se potkává…

Lukáš Bauer

Experti objevili skrytého parazita v Microsoft Exchange…

Průmyslové organizace patří mezi nejvyhledávanější cíle kyberzločinců, a to jak kvůli očekávanému finančnímu zisku, tak kvůli shromažďování cenných informací. V roce 2021 jsme zaznamenali značný zájem o průmyslové organizace ze strany známých záškodnických skupin využívajících APT, jako jsou Lazarus a APT41.

Při vyšetřování další série útoků odhalili odborníci z Kaspersky nový malware, který vykazuje určitou podobnost s malwarem „Manuscrypt“ skupiny Lazarus, speciálním malwarem používaným v její kampani ThreatNeedle proti obrannému průmyslu. Proto jej nazvali PseudoManuscrypt.

Produkty společnosti Kaspersky zablokovaly v období od 20. ledna do 10. listopadu 2021 PseudoManuscrypt na více než 35 000 počítačích ve 195 zemích. Častými cíli této kampaně byly průmyslové a vládní organizace, včetně vojensko-průmyslových podniků a výzkumných laboratoří. 7,2 % napadených počítačů bylo součástí průmyslových řídicích systémů (ICS), přičemž nejvíce postižená odvětví představovalo strojírenství a automatizace budov. 

PseudoManuscrypt se do cílových systémů stahuje prostřednictvím podvržených instalačních archivů pirátského softwaru, maskovaného jako software pro ICS. Je pravděpodobné, že útočníci tyto falešné instalační programy nabízí prostřednictvím platformy Malware-as-a-Service (MaaS).

Zajímavé je, že v některých případech PseudoManuscrypt instalovali pomocí nechvalně známého botnetu Glupteba. Po počáteční infekci se spustí složitý infekční řetězec, který nakonec stáhne hlavní škodlivý modul. Experti identifikovali dvě varianty tohoto modulu. Obě jsou vybaveny pokročilými špionážními funkcemi, například pro zaznamenávání stisků kláves, kopírování dat ze schránky, krádež přihlašovacích údajů k virtuálním privátním sítím (VPN) a potenciálně i ke vzdálené ploše (RDP), shromažďování údajů o připojení, kopírování snímků obrazovky atd.

Útoky nevykazují žádné preference pro konkrétní průmyslová odvětví, nicméně velký počet napadených systémů pro počítačové projektování, například systémů používaných pro 3D a fyzické modelování nebo pro digitální dvojčata (počítačové modely reálných objektů), naznačuje, že jedním z cílů může být průmyslová špionáž.