'Problemem nie są jednak złe rozwiązania IT, lecz niewłaściwe procedury oraz błędy ludzkie, czyli strona operacyjna'

Myślisz, że komputer bez dostępu do sieci jest bezpieczny?

Mylisz się!

Eset oznaczył windowsowe narzędzie stosowane przez grupę cyberprzestępców jako Win32/USBStealer. Zagrożenie atakuje pojedyncze komputery w tzw. ,,air-gapped networks”, czyli sieciach komputerów nie podłączonych do Internetu. Celem zagrożenia jest uzyskanie dostępu do określonych plików. USBStealer przenoszony jest z komputera (A) z dostępem do Internetu do komputera (B) bez dostępu do sieci przy użyciu nośnika wymiennego, np. pendrive’a czy dysku przenośnego.

Komputer A początkowo zostaje zainfekowany zagrożeniem USBStealer, które próbuje naśladować rosyjski program o nazwie USB Disk Security. Ten prawdziwy chroni komputer przed zainfekowaniem, natomiast ten od cyberprzestępców infekuje maszynę. Po zagnieżdżeniu się w systemie Win32/USBStealer monitoruje wszystkie dyski wymienne podłączane do komputera. Po włożeniu dysku USB do komputera A, zagrożenie kopiuje się na dysk wymienny w postaci pliku o nazwie,,USBGuard.exe”. Tworzy na dysku wymiennym także plik o nazwie „autorun.inf”, który odpowiada za uruchomienie zagrożenia po podłączeniu wymiennego nośnika USB do komputera B. Win32/USBStealer wykonuje różne czynności w celu uzyskania dostępu do określonych plików z komputera, np. tych, w których przechowywane są prywatne klucze wykorzystywane do szyfrowania danych.

Eksperci bezpieczeństwa Eset podkreślają, że grupa Sednit atakuje różne instytucje, w większości zlokalizowane w Europie Wschodniej, od przynajmniej 5 lat. W ubiegłym miesiącu eksperci Eset jako pierwsi odkryli, że cyberprzestępcy przeprowadzili atak za pośrednictwem strony internetowej znanej polskiej instytucji finansowej. Wykorzystywali do tego celu zestaw exploitów o nazwie Sedkit.