Целью этой шпионской операции являются правительственные организации в Азиатско-Тихоокеанском регионе (АТР). Эти результаты подробно изложены в последнем отчете «Лаборатории Касперского» о ландшафте угроз APT (Advanced Persistent Threat) за третий квартал 2023 года.

В частности, Глобальная исследовательская и аналитическая группа «Лаборатории Касперского» (GReAT) раскрыла длительную шпионскую кампанию, проводимую ранее необнаруженным злоумышленником. Злоумышленники тайно отслеживают и собирают конфиденциальные данные правительственных организаций Азиатско-Тихоокеанского региона, используя зашифрованные USB-накопители, защищенные аппаратным шифрованием для обеспечения безопасного хранения и передачи данных между компьютерными системами. Эти USB-накопители используются правительственными организациями по всему миру, что увеличивает вероятность того, что в будущем жертвами подобных атак станут еще больше организаций.

Кампания использует различные вредоносные модули, с помощью которых злоумышленник может получить полный контроль над устройством жертвы. Это позволяет им выполнять команды, собирать файлы и информацию со взломанных машин и заражать другие машины, используя тот же или другой тип зашифрованного USB-накопителя. Кроме того, APT также успешно внедряет другие вредоносные файлы в зараженные системы.

«Наше исследование показывает, что атака использует очень сложные инструменты и методы, включая программное шифрование на основе виртуализации, низкоуровневую связь с USB-накопителями с использованием прямых команд SCSI и саморепликацию через подключенные зашифрованные USB-накопители. Эти операции выполняются высококвалифицированным и изощренным субъектом угроз, глубоко заинтересованным в шпионской деятельности в конфиденциальных и защищенных правительственных сетях», — сказал Нушин Шабаб, старший научный сотрудник по безопасности в Глобальной исследовательской и аналитической группе «Лаборатории Касперского» (GReAT).

Чтобы предотвратить риск стать жертвой целенаправленной атаки, исследователи «Лаборатории Касперского» рекомендуют предпринять следующие меры:

• Регулярно обновляйте операционную систему, приложения и антивирусное программное обеспечение, чтобы оставаться защищенными от потенциальных уязвимостей и угроз безопасности.
• Будьте осторожны с электронными письмами, текстовыми сообщениями или звонками с просьбой предоставить конфиденциальную информацию. Прежде чем делиться персональными данными или переходить по подозрительным ссылкам, проверьте личность человека, запрашивающего информацию.
• Предоставьте вашему Центру безопасности (SOC) доступ к новейшим данным об угрозах. Kaspersky Threat Intelligence Portal — это единая точка доступа «Лаборатории Касперского» к данным об угрозах и кибератаках.