Na początku 2020 r. odnotowano serię ataków ukierunkowanych na organizacje przemysłowe w różnych regionach świata. Według najnowszych ustaleń zespołu Kaspersky ICS CERT ich celem były systemy w Japonii, Włoszech, Niemczech oraz Wielkiej Brytanii. Wśród atakowanych organizacji znaleźli się dostawcy sprzętu oraz oprogramowania dla przedsiębiorstw przemysłowych. Badanie wykazało, że atakujący stosowali szkodliwe dokumenty Microsoft Office, skrypty PowerShell oraz różne techniki w celu utrudnienia wykrycia i analizy swojego szkodliwego oprogramowania – łącznie ze steganografią, pomysłową techniką ukrywania danych, która pozwala zataić istnienie jakichkolwiek informacji.
Ataki wymierzone w obiekty przemysłowe w naturalny sposób zwracają uwagę społeczności związanej z cyberbezpieczeństwem: są wyrafinowane i skupiają się na określonym rodzaju firm o krytycznym znaczeniu. Jakiekolwiek zakłócenie działania takich firm może prowadzić do różnych niepożądanych konsekwencji, od skutecznego szpiegostwa przemysłowego po dotkliwe straty finansowe.
Nie inaczej było w przypadku analizowanej serii ataków. Wiadomości phishingowe, wykorzystane jako pierwotny wektor ataku, zostały dostosowane pod względem językowym do indywidualnych ofiar. Zastosowane podczas ataku szkodliwe oprogramowanie wykonywało destrukcyjne działania tylko wtedy, gdy lokalizacja systemu operacyjnego odpowiadała językowi, w którym stworzono wiadomość phishingową. Na przykład w przypadku ataku na firmę z Japonii tekst wiadomości phishngowej oraz dokumentu Microsoft Office zawierającego szkodliwy kod był napisany w języku japońskim. Ponadto, aby możliwe było odszyfrowanie modułu szkodliwego oprogramowania, również system operacyjny musiał być zlokalizowany w języku japońskim.
Dokładniejsza analiza wykazała, że atakujący wykorzystywali narzędzie Mimikatz w celu kradzieży danych uwierzytelniających konta systemu Windows. Informacje te mogą zostać użyte do uzyskania dostępu do innych systemów w sieci przedsiębiorstwa oraz zaplanowania ataków. Szczególnie niebezpieczna może być sytuacja, gdy przestępcy uzyskają dostęp do kont z uprawnieniami administratora domeny.
We wszystkich wykrytych przypadkach szkodliwe oprogramowanie zostało zablokowane przez rozwiązania bezpieczeństwa firmy Kaspersky, uniemożliwiając dalszą aktywność atakujących. W efekcie ostateczny cel przestępców pozostaje nieznany. Eksperci z zespołu Kaspersky ICS CERT nadal monitorują nowe, podobne przypadki. Osoby, które miały do czynienia z takim atakiem, mogą zgłosić go za pośrednictwem formularza dostępnego na stronie internetowej firmy Kaspersky.
Opisywany atak zwraca uwagę ze względu na zastosowanie kilku niestandardowych rozwiązań technicznych. Na przykład moduł szkodliwego oprogramowania jest zakodowany wewnątrz pliku graficznegao przy użyciu metod steganografii, a sam obrazek jest dystrybuowany z legalnych zasobów WWW. To wszystko sprawia, że wykrycie pobrania takiego szkodliwego oprogramowania przy zastosowaniu monitorowania ruchu sieciowego oraz narzędzi kontroli jest praktycznie niemożliwe: z punktu widzenia rozwiązań technicznych taka aktywność nie różni się od zwykłego dostępu przyznanego legalnemu hostingowi grafiki. W połączeniu z ukierunkowanym charakterem infekcji techniki te wskazują na wyrafinowaną i selektywną naturę ataków. Niepokojące jest to, że wśród ofiar znajdują się podwykonawcy z branży przemysłowej. Jeśli dane uwierzytelniające pracowników takiej organizacji wpadną w niepowołane ręce, może to doprowadzić do wielu negatywnych konsekwencji, począwszy od kradzieży poufnych danych, a skończywszy na atakach na przedsiębiorstwa przemysłowe za pośrednictwem wykorzystywanych przez wykonawcę narzędzi zdalnej administracji – powiedział Wiaczesław Kopiejcew, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.