Rozsáhlá spywarová kampaň ohrožuje tisíce počítačů průmyslových řídicích systémů po celém světě

Nový malware, který ohrožoval víc než 35 000 počítačů ve 195 zemích, zaznamenali od 20. ledna do 10. listopadu 2021 bezpečnostní experti společnosti Kaspersky. Nazvali jej PseudoManuscrypt kvůli jeho podobnosti s malwarem Manuscrypt skupiny Lazarus, která stojí za pokročilými perzistentními hrozbami (APT). Tento nový malware obsahuje různé špionážní funkce a zaměřuje se na skupinu vládních organizací i průmyslových řídicích systémů (ICS) v mnoha různých odvětvích.

Průmyslové organizace patří mezi nejvyhledávanější cíle kyberzločinců, a to jak kvůli očekávanému finančnímu zisku, tak kvůli shromažďování cenných informací. V roce 2021 jsme zaznamenali značný zájem o průmyslové organizace ze strany známých záškodnických skupin využívajících APT, jako jsou Lazarus a APT41. Při vyšetřování další série útoků odhalili odborníci společnosti Kaspersky nový malware, který vykazuje určitou podobnost s malwarem Manuscrypt skupiny Lazarus, speciálním malwarem používaným v její kampani ThreatNeedle proti obrannému průmyslu. Proto jej nazvali PseudoManuscrypt.

Produkty společnosti Kaspersky zablokovaly v období od 20. ledna do 10. listopadu 2021 PseudoManuscrypt víc než na 35 000 počítačích ve 195 zemích. Častými cíli této kampaně byly průmyslové a vládní organizace, včetně vojensko-průmyslových podniků a výzkumných laboratoří. 7,2 % napadených počítačů bylo součástí průmyslových řídicích systémů (ICS), přičemž nejvíc postižená odvětví představovaly strojírenství a automatizace budov.

PseudoManuscrypt se do cílových systémů stahuje prostřednictvím podvržených instalačních archivů pirátského softwaru, maskovaného jako software pro ICS. Je pravděpodobné, že útočníci tyto falešné instalační programy nabízejí prostřednictvím platformy Malware-as-a-Service (MaaS). Zajímavé je, že v některých případech PseudoManuscrypt instalovali pomocí nechvalně známého botnetu Glupteba. Po počáteční infekci se spustí složitý infekční řetězec, který nakonec stáhne hlavní škodlivý modul. Experti společnosti Kaspersky identifikovali dvě varianty tohoto modulu. Obě disponují pokročilými špionážními funkcemi, například pro zaznamenávání stisků kláves, kopírování dat ze schránky, krádež přihlašovacích údajů k virtuálním privátním sítím (VPN) a potenciálně i ke vzdálené ploše (RDP), shromažďování údajů o připojení, kopírování snímků obrazovky atd.

Útoky nepreferují žádná konkrétní průmyslová odvětví, nicméně velký počet napadených systémů pro počítačové projektování, například systémů používaných pro 3D a fyzické modelování nebo pro digitální dvojčata (počítačové modely reálných objektů), naznačuje, že jedním z cílů může být průmyslová špionáž.

Je zvláštní, že některé z obětí mají společné vazby s oběťmi kampaně Lazarus, o které ICS CERT informoval už dříve, a data se na server útočníků odesílají přes neobvyklý protokol využívající knihovnu, která se dřív používala pouze u malwaru skupiny APT41. Vzhledem k velkému počtu obětí a absenci explicitního zaměření však společnost Kaspersky nespojuje tuto kampaň se skupinou Lazarus ani s žádným známým aktérem APT.

„Tato kampaň je velmi neobvyklá a stále dáváme dohromady různé informace, které máme k dispozici. Jedno je však jasné – jedná se o hrozbu, které musejí odborníci věnovat pozornost. Podařilo se jí proniknout do tisíců počítačů ICS, včetně počítačů mnoha významných organizací. Budeme pokračovat ve svém vyšetřování a informovat bezpečnostní komunitu o všech nových poznatcích,“ slibuje Vjačeslav Kopejcev, bezpečnostní expert společnosti Kaspersky.

Víc informací o kampani využívající PseudoManuscrypt najdete na stránkách ICS CERT.

Bezpečnostní experti společnosti Kaspersky doporučují několik základních kroků, jak se chránit před malwarem PseudoManuscrypt.

• Nainstalujte na všechny servery a pracovní stanice bezpečnostní software na ochranu koncových bodů.

• Zkontrolujte, zda jsou na všech systémech aktivovány všechny součásti ochrany koncových bodů a zda se uplatňuje zásada, která vyžaduje zadání hesla správce v případě, že se někdo pokusí software deaktivovat.

• Zkontrolujte, zda zásady služby Active Directory zahrnují omezení počtu pokusů uživatelů o přihlášení do systémů. Uživatelům měli mít povolení přihlašovat se pouze do těch systémů, ke kterým potřebují přístup kvůli plnění svých pracovních povinností.

• Omezte síťová připojení, včetně VPN, mezi systémy v síti provozních technologií (OT). Zablokujte připojení na všech portech, které nejsou nutné pro kontinuitu a bezpečnost provozu.

• Při navazování spojení přes VPN používejte dvoufázové ověřování pomocí bezpečnostních tokenů (např. čipových karet) nebo jednorázových kódů. V případech, kdy je to možné, použijte technologii Access Control List (ACL) k omezení seznamu IP adres, ze kterých lze zahájit připojení k VPN.

• Proškolte zaměstnance firmy v bezpečné práci s internetem, elektronickou poštou a dalšími komunikačními kanály a zdůrazněte možné následky stahování a spouštění souborů z neprověřených zdrojů.

• Účty s právy lokálního administrátora a správce domény používejte pouze v případě, že je to nezbytné k plnění pracovních povinností.

• Zvažte využití služeb typu Managed Detection and Response (MDR), abyste získali rychlý přístup ke špičkovým odborným znalostem a radám bezpečnostních profesionálů.

• Používejte specializovanou ochranu pro výrobní systémy. Ochranu průmyslových koncových bodů a monitorování sítě provozních technologií (OT) k identifikaci a blokování škodlivých aktivit umožňuje například řešení Kaspersky Industrial CyberSecurity.

Tým Kaspersky ICS CERT

Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) je globální projekt spuštěný společností Kaspersky v roce 2016. Jeho cílem je koordinovat úsilí dodavatelů automatizačních systémů, majitelů a provozovatelů výrobních zařízení a výzkumníků v oblasti IT bezpečnosti při ochraně průmyslových podniků před kybernetickými útoky. Kaspersky ICS CERT soustředí svoje úsilí především na identifikaci potenciálních a existujících hrozeb, které cílí na průmyslové automatizační systémy a průmyslový internet věcí (IoT). Kaspersky ICS CERT je aktivním členem a partnerem předních mezinárodních organizací, které vypracovávají doporučení na ochranu průmyslových podniků před kybernetickými hrozbami.

Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější.