از بیستم ژانویه تا ۱۰ نوامبر ۲۰۲۱ متخصصین کسپرسکی موفق به پردهبرداری از بدافزار جدیدی شدند که بیش از ۳۵۰۰۰ کامپیوتر را در ۱۹۵ کشور جهان مورد هدف قرار داده بود. این بدافزار جدید که به دلیل شباهتهایش با بدافزار Lazarus’s Manuscrypt، «PseudoManuscrypt» نامیده میشود، علاوه بر سازمانهای دولتی، سیستمهای کنترل صنعتی (ICS) را در صنایع متعدد هدف قرار داده بود.
سازمانهای صنعتی جزو اهداف پرطرفدار در بین مجرمان سایبری هستند، سال ۲۰۲۱ شاهد علاقه قابلتوجهی به سازمانهای صنعتی از سوی گروههای معروف APT مانند Lazarus و APT41 بود. دو انگیزه اصلی این حملات باجخواهی و سرقت اطلاعات است.
در حین بررسی رشته دیگری از حملات، کارشناسان کسپرسکی یک بدافزار جدید با شباهتهایی به «Manuscrypt» لازاروس، بدافزار سفارشی مورداستفاده در کمپین ThreatNeedle این گروه علیه صنایع دفاعی، کشف کردند. ازاینرو، آنها آن را PseudoManuscrypt نامیدند.
از ۲۰ ژانویه تا ۱۰ نوامبر ۲۰۲۱، محصولات کسپرسکی PseudoManuscrypt را در بیش از ۳۵۰۰۰ رایانه در ۱۹۵ کشور مسدود کردند. بسیاری از اهداف سازمانهای صنعتی و دولتی ازجمله شرکتهای نظامی-صنعتی و آزمایشگاههای تحقیقاتی بودند.
۷٫۲ درصد از رایانههای موردحمله بخشی از سامانههای کنترل صنعتی (ICS) بودند. که دراینبین واحدهای مهندسی و خودکارسازی بیشترین آسیبدیدگی را در صنایع داشتند.
PseudoManuscrypt در ابتدا از طریق بایگانی نصب نرمافزار کرک شده جعلی، که برخی از آنها ویژه ICS هستند، در سیستمهای هدف دانلود میشود.
بهاحتمالزیاد این نصب کنندههای جعلی که بهعنوان نرمافزار کپی دانلود شدهاند. از طریق پلتفرم Malware-as-a-Service (MaaS) ارائه میشوند. عجیب است، در برخی موارد، PseudoManuscrypt از طریق بات نت بدنام Glupteba نصبشده است.
پس از آلودگی اولیه، یک زنجیره پیچیده از آلودگیها آغاز میشود. که درنهایت ماژول مخرب اصلی را دانلود میکند. کارشناسان کسپرسکی دو نوع از این ماژول را شناسایی کردهاند.
هر دو این ماژولها به قابلیتهای جاسوسافزار پیشرفته مجهز هستند، کپی کردن دادهها از کلیپ بورد، سرقت دادههای احراز هویت احتمالاً و دادههای اتصال، کپی کردن تصاویر صفحه و غیره.
حملهها هیچ اولویتبندی به صنعت مشخصی را نشان نمیدادند، اگرچه بیشتر کامپیوترهای موردحمله واقعشده متعلق به مهندسینی بوده که از ابزارهای مدلسازی حجمی و سهبعدی استفاده مینمودند. به همین دلیل برداشت میشود جاسوسی صنعتی یکی از انگیزههای اصلی حملات باشد.
جای تعجب دارد، برخی از قربانیان این بدافزار با قربانیان کمپین لازاروس ICS CERT روابط مشترک دارند و دادهها از طریق یک پروتکل نادر با استفاده از کتابخانهای که قبلاً فقط با بدافزار APT41 استفاده میشد، به سرور مهاجمان ارسال میشود.
بااینوجود، با توجه به تعداد زیاد قربانیان و عدم تمرکز ، کسپرسکی مشخصاً این کمپین را به Lazarus یا هیچ عامل تهدید APT مرتبط نمیداند.
اینیک حمله نامرسوم بهحساب میآید و ما هنوز در حال کنار هم گذاشتن سرنخهای آن هستیم اگرچه یک موضوع واضح است این حملهای است که متخصصان باید به آن خیلی توجه کنند.
به گفته یکی از متخصصین امنیت در کسپرسکی این بدافزار موفق به ورود به هزاران کامپیوتر ICS مشتمل بر سازمانهای سطح بالا شده است. ما به تحقیقات خود ادامه داده و جامعه امنیت سایبری را از یافتههای جدید مطلع خواهیم نمود.
تیم مراقبت و پاسخ فوری به تهدیدات صنعتی یک پروژه جهانی است که در سال ۲۰۱۶ توسط کسپرسکی برای حمایت از فعالیتهای تأمینکنندگان خودکارسازی صنعتی مالکین و کاربران زیرساختهای صنعتی و محققین امنیت سایبری در جهت حفاظت از سازمان صنعتی از حملات سایبری ایجاد شد.
کسپرسکی ICS CERTتوجه خود را معطوف به شناسایی تهدیدات بالقوه و موجود در اتوماسیونهای صنعتی و اینترنت اشیا معطوف داشته است. این شرکت یکی از اعضای فعال و مشارکتکننده در یک سازمان جهانی است که توصیه های حفاظت سایبری صنعتی را منتشر میکنند.