Kaspersky descoperă noi atacuri de spionaj împotriva sistemelor industriale

O serie de atacuri extrem de bine țintite împotriva sistemelor industriale, și care datează din anul 2018, au fost descoperite recent de către specialiștii în securitate cibernetică de la Kaspersky.
Lidia Neagu - mar, 13 oct. 2020, 11:29
Kaspersky descoperă noi atacuri de spionaj împotriva sistemelor industriale

„Acestea sunt mult mai rare în lumea amenințărilor persistente avansate (APT) decât campaniile împotriva diplomaților și altor actori politici. Setul de instrumente utilizat – denumit inițial MT3 de către autorii malware-ului – a fost clasificat de Kaspersky drept „MontysThree”. Acesta folosește o varietate de tehnici pentru a se sustrage detecției, inclusiv găzduirea comunicațiilor cu serverul de control pe servicii publice de cloud și ascunderea principalului modul malware folosind steganografie. Entitățile guvernamentale, diplomații și operatorii de telecomunicații tind să fie ținta preferată pentru APT, deoarece aceste persoane și instituții posedă în mod natural informații extrem de confidențiale și sensibile din punct de vedere politic. Campaniile de spionaj orientate împotriva entităților industriale sunt cu mult mai rare, dar pot avea consecințe devastatoare pentru companiile respective. Este și motivul pentru care cercetătorii Kaspersky s-au grăbit să acționeze imediat ce au observat activitatea MontysThree”, spun experții.

Acțiunile de spionaj ale MontysThree urmăresc instalarea unui program malware format din patru module, cel principal folosind mai multe tehnici de criptare proprii pentru a se sustrage detecției, și anume utilizarea unui algoritm RSA pentru a cripta comunicațiile cu serverul de control și pentru a decripta principalele „sarcini” atribuite de către malware.

Potrivit sursei citate, MontysThree este conceput pentru a viza în mod specific documentele Microsoft și Adobe Acrobat. De asemenea, poate face capturi de ecran și poate capta „amprenta digitală” a țintei (adună informații despre setările rețelei, numele gazdei etc.) pentru a vedea dacă este de interes pentru atacatori.

„Informațiile colectate și alte comunicații cu serverul de control sunt apoi găzduite pe servicii de cloud publice precum Google, Microsoft și Dropbox. Acest lucru face ca traficul de comunicații să fie dificil de detectat ca fiind rău intenționat și, deoarece niciun antivirus nu blochează aceste servicii, se asigură că serverul de control poate executa comenzi neîntrerupt. MontysThree folosește, de asemenea, o metodă simplă pentru a obține persistență pe sistemul infectat – un modificator pentru Windows Quick Launch. Fără să știe, utilizatorii lansează singuri modulul inițial al malware-ului, de fiecare dată când rulează aplicații legitime, cum ar fi browserele, atunci când utilizează bara de instrumente Quick Launch (Lansare rapidă)”, adaugă sursa citată.

Kaspersky precizează că, până la ora actuală, nu a reușit să găsească asemănări cu alte amenințări persistente avansate cunoscute în codul rău intenționat sau în infrastructură. 

Te-ar mai putea interesa și
Salariile bugetarilor au crescut cu 6 miliarde de euro în acest an, în România. La ce sumă imensă s-a ajuns, ca să se impună înghețarea pentru tot anul 2025
Salariile bugetarilor au crescut cu 6 miliarde de euro în acest an, în România. La ce sumă imensă s-a ajuns, ca să ...
Cheltuielile de personal ale statului al crescut în anul 2024 cu 32 de miliarde de lei, și au ajuns la 164 de miliarde de lei, adică aproape 33 de miliarde de euro, potrivit notei de fundamentare......
Statele Unite impun sancțiuni împotriva miliardarului Bidzina Ivanişvili, considerat liderul de facto al Georgiei
Statele Unite impun sancțiuni împotriva miliardarului Bidzina Ivanişvili, considerat liderul de facto al Georgiei
Departamentul de Stat american a anunţat vineri sancţiuni împotriva oligarhului Bidzina Ivanişvili, considerat liderul ...
INGHA: Debitul Dunării la intrarea în ţară va fi în creștere în următoarele zile, până la 4.900 mc/s
INGHA: Debitul Dunării la intrarea în ţară va fi în creștere în următoarele zile, până la 4.900 mc/s
Debitul Dunării la intrarea în ţară (secţiunea Baziaş) va fi în creştere în următoarele zile până la valoarea ...
FIHR avertizează Guvernul că „Ordonanţa trenuleţ” va avea efecte devastatoare asupra turismului, dacă nu va fi însoțită de măsuri compensatorii
FIHR avertizează Guvernul că „Ordonanţa trenuleţ” va avea efecte devastatoare asupra turismului, dacă nu ...
Federaţia Industriei Hoteliere din România (FIHR) lansează un apel urgent către Guvernul României în ceea ce priveşte ...