I ricercatori di Kaspersky hanno individuato tre fasi nel flusso degli attacchi ai sistemi industriali nell’Europa orientale e scoperto la presenza di un malware di secondo livello in grado di estrarre i dati dai sistemi air-gapped.
Durante la prima fase – spiegano i ricercatori – gli attaccanti impiantano un malware nei sistemi per creare un canale di comunicazione persistente; durante la seconda, vengono inseriti moduli specifici per estrarre i dati dai sistemi infetti; infine, nella terza fase vengono installati dei tool per inviare i dati al server C2.
Tra i modelli usati per la seconda fase, il team ha individuato un malware modulare capace di tracciare il profilo delle unità rimovibili e contaminarle con worm per ottenere i dati dalle reti isolate air-gapped. Inoltre, è presente un ulteriore impianto progettato per rubare i dati da un dispositivo locale e inviarli a Dropbox nella fase successiva.
Il malware è composto da almeno tre moduli, ognuno responsabile di attività diverse quali la profilazione, l’acquisizione di schermate e l’installazione di altri malware.
Gli impianti della seconda fase usano uno schema di caricamento basato sulla tecnica del DLL hijacking per ottenere persistenza. Kaspersky sottolinea che il gruppo ha cercato di eludere i controlli di sicurezza cifrando il payload del malware in un file binario e nascondendo del codice malevolo nell’area di memoria di applicazioni legittime.
Sebbene l’esfiltrazione di dati dalle reti isolate non è un comportamento nuovo per i gruppi APT, questo attore sembra abbia implementato tecniche più sofisticate, in particolare per sfuggire ai controlli.
Gli esperti consigliano di effettuare scansioni regolari delle unità rimovibili usate nei dispositivi industriali e implementare tecnologie per il controllo dei device, assicurandosi che vengano usati in modo corretto, oltre a limitare i privilegi degli utenti dei sistemi.