Kaspersky pubblica la seconda parte della ricerca focalizzata sullo sviluppo di un malware in grado di estrarre i dati da backup e sistemi protetti air-gapped.
Il malware di secondo livello sostituisce gli impianti di primo livello utilizzati per l’accesso da remoto e la raccolta di dati nei cyberattacchi nell’Europa dell’Est. Questo tool avanzato apre la strada allo sviluppo di strumenti di terza fase che raccolgono e trasmettono i dati raccolti.
Rubare i dati
La ricerca ha identificato due tipi specifici di impianti per la seconda fase dell’attacco, ovvero l’estrazione dei dati dai sistemi infetti. Uno dei modelli di impianto sembra essere un sofisticato malware modulare, volto a tracciare il profilo delle unità rimovibili e a contaminarle con un worm per esfiltrare i dati da reti isolate, o air-gapped, di organizzazioni industriali nell’Europa orientale.
Backup e dati da sistemi protetti air-gapped
L’altro tipo di impianto è progettato per rubare i dati da un computer locale e inviarli a Dropbox con l’aiuto degli impianti successivi. Il malware progettato appositamente per esfiltrare i dati dai sistemi air-gapped infettando le unità rimovibili è composto da almeno tre moduli. Ciascuno è responsabile di compiti diversi, come la profilazione e la gestione delle unità rimovibili, l’acquisizione di schermate e l’installazione di malware di seconda fase sulle unità appena collegate.
Backup – come agiscono i criminali
Nel corso dell’indagine, i ricercatori di Kaspersky hanno osservato gli sforzi dei criminali informatici per eludere il rilevamento e l’analisi. Hanno ottenuto questo risultato nascondendo il payload in forma crittografata all’interno di file di dati binari separati e incorporando il codice dannoso nella memoria di applicazioni legittime attraverso il dirottamento di DLL e una catena di iniezioni di memoria.
Una strategia progettata in modo unico
Kirill Kruglov, Senior Security Researcher di Kaspersky ICS CERT
Gli sforzi dell’attore della minaccia per offuscare le proprie azioni attraverso payload criptati, memory injection e DLL hijacking potrebbero sembrare sottolineare la complessità delle sue tattiche. Sebbene l’esfiltrazione di dati da reti air-gapped sia una strategia ricorrente adottata da molte APT e campagne di cyber-spionaggio mirate, questa volta è stata progettata e implementata in modo unico.Con il proseguire delle ricerche, Kaspersky continua a impegnarsi per la protezione contro i cyberattacchi mirati e a collaborare con la comunità di cybersecurity per diffondere informazioni utili.
Attenzione: i dati da sistemi protetti air-gapped sono in pericolo
Per proteggere i computer OT dalle minacce informatiche, gli esperti di Kaspersky consigliano di:
- Condurre regolari valutazioni di sicurezza dei sistemi OT per identificare ed eliminare possibili problemi di cybersecurity.
- Impostare valutazioni e classificazioni continue delle minacce come base di partenza per un processo di gestione efficace delle vulnerabilità. Soluzioni specializzate, come Kaspersky Industrial Cybersecurity, possono essere un aiuto utile e una fonte di informazioni uniche e fruibili, non disponibili pubblicamente.
- Eseguire aggiornamenti tempestivi per i componenti chiave della rete OT aziendale, applicare correzioni e patch di sicurezza o implementare misure di compensazione sono fondamentali per evitare gravi incidenti, che potrebbe causare ingenti danni economici a causa dell’interruzione del processo produttivo.
Rafforzare le competenze
- Utilizzare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento tempestivo di minacce avanzate, l’analisi e la risoluzione degli incidenti.
- Migliorare la risposta a nuove tecniche malevole avanzate costruendo e rafforzando le competenze dei team in materia di prevenzione, rilevamento e risposta agli incidenti. Corsi di formazione dedicati alla sicurezza OT per i responsabili della sicurezza IT e il personale OT sono una delle misure chiave per raggiungere questo obiettivo.
