亚太地区的政府机关遭到骇客组织发动TetrisPhantom攻击,利用安全加密随身碟散布恶意程式,入侵隔离网路

图片来源: 

卡巴斯基

使用具备加密功能的随身碟,就能确保资料安全吗?最近有研究人员指出,骇客锁定会使用这类随身碟传输资料的政府机关下手,从而入侵受隔离系统(Air-Gapped),从中窃取机密资料。

骇客首先在使用者的电脑执行名为AcroShell的恶意酬载,此恶意程式与C2伺服器进行通讯,然后下载额外的作案工具,偷取档案及机敏资料,同时收集使用者存取USB随身碟的特定资讯,将其用于打造名为XMKR的恶意程式,以及木马化的UTetris,XMKR部署至Windows电脑之后,会伺机渗透至连接这台电脑的安全USB随身碟,再透过这支安全USB随身碟,对受隔离系统发动攻击(当使用者这支安全USB随身碟接上隔离系统时,恶意程式可再扩散到这个环境当中)。

针对这起攻击行动当中骇客的手法,研究人员认为当中采用了复杂的工具及技术,包括:以虚拟化为基础的手法将恶意软体的元件进行混淆、利用直接SCSI命令与USB装置进行低阶通讯,以及恶意程式在电脑连接加密随身碟时会进行自我复制,然后散布到受隔离的系统。再者,攻击者将恶意程式码植入随身碟的存取管理应用程式,而被用于感染另一台电脑恶意程式。

研究人员一共看到两种版本的木马化UTetris,一种出现于2022年9月至10月,另一种从去年10月使用至今,然而,他们认为骇客的攻击行动已经进行多年,而且,骇客的恶意程式仅感染政府网路上少数电脑,这代表攻击行动相当具有针对性。