SEDNIT间谍组攻击空调网络

SEDNIT间谍组攻击空调网络

SEDNIT间谍组，也称为Sofacy Group，APT28或“ Fancy Bear”，多年来一直针对各种机构。最近，我们发现了该小组采用的一个组件，以通过可移动的驱动器来达到物理隔离的计算机网络 - “漏气”网络 - 从中​​删除敏感的文件。

2014年11月11日•，9分钟。阅读

2014年11月11日 • ， 9分钟。阅读

简介

上个月ESET发现，Sednit组正在使用定制的剥削套件进行浇水孔攻击。在过去的几周中，该小组已经分享了几件智能，包括趋势Micro的Pawn Storm报告和Fireeye的APT28报告。

Sednit组正在使用定制的剥削套件进行浇水孔攻击 典当行动 APT28

在这篇博客文章中，我们分享了一种用于从空调网络中提取敏感信息的工具的知识。 ESET将其视为Win32/USBSTEALER。

win32/usbstealer

我们认为，Sednit集团至少自2005年以来一直在使用该工具，并且今天仍在使用它来违背其通常类型的目标，即东欧的政府机构。在过去的几年中，该工具的几种版本已采用不同程度的复杂性。

win32/usbstealer策略

敏感的计算机网络的一种常见安全措施是通过“气隙”使它们完全与外界隔离。顾名思义，这些网络没有与Internet的任何直接外部连接。

但是，使用可移动驱动器可以为外界创造路径。当将相同的可移动驱动器反复插入与Internet连接的机器和空调机器（例如传输文件时）时，尤其如此。

滴管

图1-攻击方案

步骤1：第一次插入计算机a

usbsrservice.exe USB磁盘安全

图2- win32/usbstealer滴管元数据

回调

open =

*