Dünya çapında binlerce endüstriyel bilgisayar bir casus yazılım kampanyasından etkilendi. Almanya'da etkilenen ICS bilgisayarlarının yüzde 1,6'sı. Kullanılan kötü amaçlı yazılım, Lazarus ile benzerlikler gösteriyor.
Ocak ortasından 2021 Kasım ortasına kadar Kaspersky uzmanları, 35.000 ülkede 195'den fazla bilgisayara bulaşan yeni kötü amaçlı yazılım gözlemledi. 'PseudoManuscrypt' kötü amaçlı yazılımı, Gelişmiş Kalıcı Tehdit (APT) grubu Lazarus'tan gelen 'Manuscrypt' kötü amaçlı yazılımıyla benzerlikler gösteriyor. Gelişmiş casusluk yeteneklerine sahiptir ve şimdiye kadar devlet kurumlarına ve endüstriyel kontrol sistemlerine (ICS) yönelik saldırılarda tespit edilmiştir.
35.000 ICS bilgisayarı etkilendi
Sanayi şirketleri, hem mali nedenlerle hem de sunacak çok fazla bilgiye sahip oldukları için siber suçlular için en çok aranan hedefler arasındadır. Bu yıl Lazarus ve APT41 gibi APT grupları sanayi şirketlerine yoğun ilgi gösterdi. Bir dizi saldırıyı araştıran Kaspersky uzmanları, Lazarus'un Manuscrypt kötü amaçlı yazılımıyla bazı benzerlikler taşıyan yeni bir kötü amaçlı yazılım parçası buldu. Bu nedenle PseudoManuscrypt adı, iki kampanyanın benzerliğine dayanmaktadır.
PseudoManuscrypt ile enfeksiyon
PseudoManuscrypt ilk olarak, bazıları ICS'ye özgü korsan yazılımlar için tasarlanmış olan sahte korsan yazılım kurulum arşivleri aracılığıyla hedeflerin sistemlerine indirilir. Bu sahte yükleyiciler muhtemelen bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) platformu aracılığıyla sunulmaktadır, ancak bazı durumlarda, kötü şöhretli Glupteba botnet aracılığıyla PseudoManuscrypt da yüklenmiştir. İlk bulaşmadan sonra, kötü niyetli ana modülün muhtemelen indirildiği karmaşık bir bulaşma zinciri gelir.
Kaspersky uzmanları bu modülün, tuş vuruşlarını günlüğe kaydetme, panodan veri kopyalama, VPN (ve muhtemelen RDP) kimlik doğrulamasını ve bağlantı verilerini çalma ve ekran görüntülerini kopyalama dahil olmak üzere her ikisi de gelişmiş casus yazılım özelliklerine sahip iki çeşidini tespit edebildi.
Bilgisayar korsanları ve APT grupları tarafından hedeflenen sektör
Kaspersky ürünleri, 20 Ocak - 10 Kasım 2021 tarihleri arasında 35.000 ülkede 195'den fazla bilgisayarda PseudoManuscrypt'i engelledi. Hedeflerin çoğu, askeri-endüstriyel şirketler ve araştırma laboratuvarları dahil olmak üzere endüstriyel ve devlet kuruluşlarıydı. Saldırıya uğrayan bilgisayarların yüzde 7,2'si endüstriyel kontrol sistemlerinin (ICS) parçasıydı ve en çok mühendislik ve bina otomasyonu endüstrileri etkilendi. Ele geçirilen ICS bilgisayarlarının yüzde 1,6'sı ve etkilenen diğer bilgisayarların yüzde 2,2'si Almanya'daydı. Saldırılar herhangi bir endüstri tercihi göstermiyor, ancak 3D ve fiziksel modelleme için kullanılan sistemler ve dijital ikizler dahil olmak üzere etkilenen çok sayıda teknik bilgisayar, endüstriyel casusluğun bir hedef olabileceğini gösteriyor.
Tuhaf olan, etkilenen ICS bilgisayarlarından bazılarının daha önce Kaspersky ICS CERT tarafından rapor edilen Lazarus kampanyası kurbanlarıyla bağlantılı olması. Veriler, daha önce yalnızca APT41 kötü amaçlı yazılımı tarafından kullanılan bir kitaplığı kullanan nadir bir protokol aracılığıyla saldırganların sunucusuna gönderilir. Ancak, çok sayıda kurban ve net bir odaklanma eksikliği göz önüne alındığında Kaspersky, kampanyayı Lazarus veya bilinen başka bir APT tehdit aktörü ile ilişkilendirmez.
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi