Cercetătorii au descoperit noi tehnici folosite în spionajul industrial, după ce au analizat mai multe atacuri sofisticate

Specialiștii au descoperit noi tehnici pentru realizarea spionajului industrial. Cercetătorii Kaspersky au studiat o serie de atacuri extrem de bine țintite împotriva sistemelor industriale, care datează din 2018.

Potrivit Kaspersky, atacurile împotriva mediului industrial sunt mult mai rare decât campaniile împotriva diplomaților și altor actori politici. Setul de instrumente utilizat, denumit inițial MT3 de către autorii malware-ului, a fost clasificat de Kaspersky drept „MontysThree”. Acesta folosește o varietate de tehnici pentru a se sustrage detecției, inclusiv găzduirea comunicațiilor cu serverul de control pe servicii publice de cloud și ascunderea principalului modul malware folosind steganografie.

• Când vor deveni tehnologiile cuantice parte din viața de zi cu zi?
• De ce o pagină de pe Wikipedia a fost blocată pentru editare

Un program malware format din patru module

Pentru a-și desfășura acțiunile de spionaj, MontysThree instalează un program malware format din patru module. Primul – încărcătorul – este răspândit inițial utilizând fișiere RAR SFX (arhive cu dezarhivare automată), care conțin nume legate de listele de contacte ale angajaților, de documentație tehnică sau rezultate ale analizelor medicale, pentru a încuraja angajații să descarce fișierele – o tehnică obișnuită de spear phishing. Încărcătorul se asigură, în primul rând, că malware-ul nu este detectat pe sistem; pentru a face acest lucru, utilizează o tehnică cunoscută sub numele de steganografie.

Steganografia este folosită pentru a ascunde faptul că datele sunt schimbate. În cazul MontysThree, principalul modul malware este deghizat într-un fișier bitmap (un format pentru stocarea imaginilor digitale). Dacă este introdusă comanda corectă, încărcătorul va utiliza un algoritm personalizat pentru a decripta conținutul din matricea de pixeli și pentru a rula codul malware.

MontysThree, conceput special pentru a viza documentele Microsoft și Adobe Acrobat

Modulul principal folosește mai multe tehnici de criptare proprii pentru a se sustrage detecției, și anume utilizarea unui algoritm RSA pentru a cripta comunicațiile cu serverul de control și pentru a decripta principalele „sarcini” atribuite de către malware. Acestea includ căutarea documentelor cu extensii specifice, în directoare specifice. MontysThree este conceput pentru a viza în mod specific documentele Microsoft și Adobe Acrobat; de asemenea, poate face capturi de ecran și poate capta „amprenta digitală” a țintei (adună informații despre setările rețelei, numele gazdei etc.) pentru a vedea dacă este de interes pentru atacatori, potrivit Mediafax.

Informațiile colectate și alte comunicații cu serverul de control sunt apoi găzduite pe servicii de cloud publice precum Google, Microsoft și Dropbox. Acest lucru face ca traficul de comunicații să fie dificil de detectat ca fiind rău intenționat și, deoarece niciun antivirus nu blochează aceste servicii, se asigură că serverul de control poate executa comenzi neîntrerupt.

MontysThree folosește, de asemenea, o metodă simplă pentru a obține persistență pe sistemul infectat, un modificator pentru Windows Quick Launch. Fără să știe, utilizatorii lansează singuri modulul inițial al malware-ului, de fiecare dată când rulează aplicații legitime, cum ar fi browserele, atunci când utilizează bara de instrumente Quick Launch.