Исследователи безопасности Лаборатории Касперского обнаружилиновую кампанию под названием TetrisPhantom, в ходе которой защищенные USB-накопители используются для атаки на правительственные системы стран Азиатско-Тихоокеанского региона.
Защищенные USB-накопители хранят файлы в зашифрованной части устройства и используются для безопасной передачи данных между системами, в том числе в изолированной среде. Доступ к защищенному разделу осуществляется с помощью специализированного ПО, которое расшифровывает содержимое на основе пароля, предоставленного пользователем. Одной из таких программ является UTetris.exe, которая находится в незашифрованной части USB-накопителя.
Специалисты обнаружили зараженные троянами версии приложения UTetris, развернутые на защищенных USB-устройствах в ходе кампании, которая длилась как минимум несколько лет и была нацелена на правительства стран Азиатско-Тихоокеанского региона. TetrisPhantom использует различные инструменты, команды и компоненты вредоносного ПО, указывающие на высококвалифицированную и хорошо финансируемую группировку.
По словам исследователей, атака включает в себя сложные инструменты и методы, в том числе:
- программную обфускацию компонентов вредоносного ПО на основе виртуализации;
- низкоуровневую связь с USB-накопителем с использованием прямых команд SCSI;
- саморепликацию через подключенные защищенные USB-накопители для распространения на другие изолированные системы;
- внедрение кода в легитимную программу управления доступом на USB-накопителе, которая действует как загрузчик вредоносного ПО на новом компьютере
Лаборатория Касперского также предоставила дополнительные детали атаки с использованием зараженного приложения Utetris, которая начинается с выполнения на целевой машине полезной нагрузки под названием AcroShell. Нагрузка устанавливает линию связи с сервером управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2), может получать и выполнять дополнительные полезные нагрузки для кражи документов и конфиденциальных файлов, а также собирать сведения об используемых USB-накопителях.
Злоумышленники также используют собранную информацию для исследования и разработки другого вредоносного ПО, называемого XMKR, и трояна UTetris.exe. Модуль XMKR развертывается на компьютере с ОС Windows и ответственен за заражение защищённых USB-накопителей, подключенных к системе, с целью распространения атаки на потенциально изолированные системы.
Возможности XMKR на устройстве включают кражу файлов в шпионских целях и запись данных на USB-накопители. Информация о скомпрометированном USB-накопителе затем попадает на C2-сервер, когда устройство хранения данных подключается к подключенному к Интернету компьютеру, зараженному AcroShell.
Специалисты подтвердили, что атаки продолжаются уже несколько лет, и главной целью TetrisPhantom является шпионаж. Исследователи отмечают небольшое количество заражённых правительственных сетей, что указывает на целенаправленную операцию.