Эксперты «Лаборатории Касперского» обнаружили кибершпионскую кампанию, получившую название TetrisPhantom и направленную на государственные организации в Азиатско-Тихоокеанском регионе. Хакеры использовали скомпрометированный защищенный USB-накопитель определенного типа, который обычно применяется для безопасного хранения данных.
Кампания была обнаружена в начале 2023 года, и оказалось, что злоумышленники тайно шпионили и собирали конфиденциальные данные государственных структур Азиатско-Тихоокеанского региона.
Исследователи отмечают, что атакуемые защищенные USB-накопители используются в государственном секторе по всему миру, а значит, потенциально жертвами подобных методов могут стать и другие организации.
Такие защищенные USB-накопители, как правило, используются государственными организациями для безопасного хранения и физической передачи данных между различными системами. USB-накопитель содержит защищенный раздел, доступ к которому можно получить только с помощью специального ПО, установленного в незашифрованной части накопителя (одной из таких программ является UTetris.exe), и кодовой фразы, известной пользователю.
Исследователи рассказывают, что обнаружили троянизированные версии UTetris, развернутые на защищенных USB-устройствах. Было обнаружено две вредоносных версии Utetris: один использовался в период с сентября по октябрь 2022 года (версия 1.0), а другой использовался в правительственных сетях с октября 2022 года по настоящее время (версия 2.0). То есть эти атаки продолжаются уже как минимум несколько лет.
Стоящие за этой кампанией злоумышленники использовали различное вредоносное ПО, с помощью которого могли получить полный контроль над устройством жертвы. Это позволило им запускать процессы, выполнять команды, взаимодействовать с файловой системой, собирать данные со скомпрометированных машин и передавать их на другие компьютеры, используя в качестве носителей те же или другие защищенные USB-накопители.
«Атака использует сложные инструменты и методы, включая программную обфускацию вредоносных компонентов с помощью виртуализации, низкоуровневое взаимодействие с USB-накопителем с помощью прямых SCSI-команд, саморепликацию через подключенные защищенные USB-накопители для распространения на другие изолированные системы и внедрение кода в легитимную программу управления доступом на USB-накопителе, которая выступает в качестве загрузчика вредоносного ПО на новой машине», — гласит отчет.
По данным «Лаборатории Касперского», число пострадавших от этих атак было небольшим, то есть атаки являлись таргетированными.
«Наше расследование выявило высокий уровень сложности данной кампании, так как в ней использовались такие техники, как программная обфускация через виртуализацию, низкоуровневое общение с USB-накопителями и самораспространение через подключенные защищенные USB. Данная кибератака проводилась высококвалифицированными злоумышленниками, проявляющими интерес к шпионской деятельности в правительственных сетях», — комментирует Нушин Шабаб, старший эксперт по кибербезопасности Глобального центра исследований и анализа угроз (GReAT).
Пока исследователи не обнаружили связи этой кампании с ранее известными APT-группировками, но расследование еще продолжается.
