Az ipari szervezetek a kiberbűnözők legkívánatosabb célpontjai közé tartoznak, mind az anyagi haszon, mind az információgyűjtés szempontjából. 2021-ben például jelentős mértékben megnőtt a jól ismert csoportok, mint például a Lazarus és az APT41 ipari szervezetek iránti érdeklődése. A Kaspersky szakértői egy másik támadási lánc vizsgálata közben új malware-re bukkantak, amely bizonyos hasonlóságot mutatott a Lazarus-csoport „Manuscrypt” malware-rel, ezért aztán a PseudoManuscrypt nevet adták neki.

A 2021. január 20. és november 10. közötti időszakban a Kaspersky termékei 195 országban több mint 35 ezer számítógépen blokkolták a PseudoManuscryptet. A célpontok között sok ipari és kormányzati szervezet volt, többek között hadiipari vállalatok és kutatólaboratóriumok. A megtámadott számítógépek 7,2 százaléka ipari vezérlőrendszerek részét képezte, a leginkább érintett iparágakat pedig a mérnöki ipar és az épületautomatizálás képviselte.

A PseudoManuscrypt először hamis szoftvertelepítő archívumokon keresztül töltődik le a célpontok rendszereire. A kezdeti fertőzés után beindul egy komplikált fertőzési lánc, amely végül letölti a fő kártékony modult. A Kaspersky szakértői a modul két variánsát azonosították. Mindkettő fejlett kémkedési funkciókkal rendelkezik, többek között képesek naplózni a billentyűleütéseket, adatokat másolni a vágólapról, VPN-hitelesítési adatokat és csatlakozási adatokat lopni, képernyőfotókat másolni.

A támadásokban nem fedezhető fel egy adott iparág iránti preferencia, ugyanakkor a megtámadott mérnöki számítógépek – többek között a 3D-s és a fizikai modellezéshez használt rendszerek és a digitális ikrek – nagy száma arra enged következtetni, hogy az egyik cél az ipari kémkedés lehet.

„Ez egy nagyon szokatlan kampány, és még mindig csak a rendelkezésünkre álló különféle információk összerakosgatásánál tartunk. Egy dolog azonban világos: ez egy olyan fenyegetés, amelyre a szakembereknek oda kell figyelniük, hiszen több ezer ipari számítógéphez utat talált már, sok neves szervezetnél is. Tovább folytatjuk a vizsgálatainkat, és folyamatosan tájékoztatjuk a biztonsági közösséget az új megállapításokról” – jelentette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

Az áldozatok nagy számára és a konkrét fókuszpont hiányára tekintettel a Kaspersky nem kapcsolja a kampányt sem a Lazarushoz, sem bármely más ismert kiberbűnözői csoporthoz.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.