Металлургов и химпром терроризируют с помощью легальных программ

26.12.2019, Чт, 14:15, Мск , Текст: Роман Георгиев

Названная в честь известного южнокарейского музыкального хита кампания Gangnam Industrial Style с помощью фишинговых писем, а также бесплатных илегальных утилит крадет данные из промышленного сектора в Южной Корее, Китае,Таиланде и других странах.

«Опа гангнам стайл»

Несколько сотен промышленныхпредприятий стали жертвой широкомасштабной кибершпионской кампании, получившейназвание Gangnam Industrial Style. Ееорганизаторы используют новую версию давно известного вредоноса для краживажных данных.

Атака начинается со фишинговогописьма с вредоносными вложениями, замаскированными под PDF-файлы. Запрятанный в них вредонос Separ крадет сведения избраузеров и почтовых клиентов, а также охотится за разного рода документами иизображениями.

К настоящему времени Gangnam Industrial Style (название кампании —отсылка к хиту Gangnam Style корейского рэпера Psy), скомпрометировала около 200 систем. Почти 60%жертв располагаются в Южной Корее, и по большей части это компании, относящиесяк тяжелой промышленности: производители стали, труб, запорно-регулирующейарматуры, а также компания, занимающаяся строительством химического завода,машиностроительная фирма и другие организации.

Одной из жертв сталпоставщик оборудования для критической промышленной инфраструктуры Южной Кореи.Атакованы также компании в Таиланде (на втором есте после Южной Кореи), Китае(на третьем месте), Японии, Индонезии, Турции, Эквадоре, Германии иВеликобритании.

Хакеры атакуют промышленность в Юго-Восточной Азии

Каждое фишинговое письмоготовится специально под конкретную жертву. Экспертам CyberXSection 52 удалось заполучить копию письма представителюдочерней структуры Siemens с запросом коммерческого предложения о строительстве электростанции вЧешской Республике. К письму прилагались диаграмма со структурой будущейстанции и общедоступный технический документ о том, как работают газовыеэлектростанции.

В другом «коммерческомпредложении» предлагалось рассмотреть возможность строительства угольнойэлектростанции Индонезии. Автор выдавал себя за дочернюю структуру японскогоконгломерата. Что характерно, на скриншотах все тексты написаны на очень плохоманглийском.

Проникнув на машину, Separ собирает логины ипароли из браузеров и почтовых клиентов, а также ищет определенные документы порасширениям файлов.

По утверждениюисследователей, кампания продолжается и в настоящее время.

Все свое несу с собой

Separизвестен как минимум с 2013 г.,однако за прошедшие шесть лет он много раз модернизировался. Волна атак сиспользованием этого вредоноса была отмечена в начале 2019 г., но даже посравнению с тем периодом Separ обзавелся новыми функциями.

Большая частьинструментария, которую Separ «приносит с собой», это общедоступные программы,такие как BrowserPasswordDumpv6.0 и EmailPasswordDumpv3.0, разработанные Security Xploded, FTP-клиент NcFTPPut 3.2.5, TheLaZagneProject, deltree, Command Line Process Viewer/Killer/Suspender(редактор процессов для Windows NT/2000/XP),защищенныйFTP-клиент MOVEit Freely и др.

«Использование такихинструментов — распространенная и очень опасная тактика, поскольку вбольшинстве случаев эти инструменты сами по себе не считаются вредоносными иантивирусы их не “подсвечивают”, — говорит АлексейВодясов, эксперт по информационной безопасности компании SEC Consult Services. — Это обеспечиваетскрытность атак и затрудняет их обнаружение. Для защиты необходимо использовать“поведенческие”решения. И, естественно, персонал компаний необходимо регулярно обучатьвыявлению фишинговых атак. Даже самых замысловатых».