براساس تحقیقات جدید منتشرشده توسط آزمایشگاه کسپرسکی، یک مهاجم چینی در تلاش برای بهدست آوردن دادههای حساس برای اهداف جاسوسی، قابلیتهای جدیدی را برای هدف قراردادن سیستمهای Air-Gapped توسعه داده است. این مهاجم که با نامهای Cycldek ،Goblin Panda یاConimes شناخته میشود، از مجموعهی ابزار گستردهای برای حرکت جانبی و سرقت اطلاعات در شبکههای قربانی استفاده میکند.
به گفتهی محققان امنیتی کسپرسکی، یکی از ابزارهای تازه کشفشده USBCulprit نام دارد که برای استخراج دادههای قربانی، به رسانهی USB متکی است. این امر نشان میدهد که Cycldek در تلاش است تا در محیط قربانی، به شبکههای Air-Gapped دست یابد و برای این منظور به حضور فیزیکی وابسته است.
مهاجم Cycldek که برای اولین بار در سال ۲۰۱۳ میلادی شناسایی شد، دارای سابقهای طولانی در هدف قراردادن بخشهای دفاعی، انرژی و دولتی در جنوب شرقی آسیا، به ویژه ویتنام، از طریق بهرهبرداری از آسیبپذیریهای شناختهشده در اسناد Microsoft Office (بهعنوان مثال، CVE-2012-0158، CVE-2017-11882 و CVE-2018-0802)، بهمنظور توزیع بدافزاری به نام NewCore RAT است.
تجزیه و تحلیل کسپرسکی از NewCore نشان میدهد که دو نوع مختلف از این بدافزار با نامهای BlueCore و RedCore وجود دارد. به گفتهی محققان، کد و زیرساخت این دو بدافزار مشابه هستند، اما برخی ویژگیهای منحصربهفرد نیز دارند. هر دو بدافزار BlueCore و RedCore به نوبهی خود، انواع ابزارهای اضافی را برای تسهیل حرکت جانبی (HDoor) و استخراج اطلاعات (JsonCookies و ChromePass) از سیستمهای به خطر افتاده بارگیری میکنند.
مهمترین این ابزارها، بدافزار USBCulprit است که میتواند برخی از مسیرها را اسکن کرده و اسناد با پسوندهای خاص (*.pdf، *.doc، *.wps، *.docx، *.ppt، *.xls، *.xlsx، *.pptx و *.rtf) را جمعآوری و آنها را به درایو USB متصل ارسال کند.
محققان اظهار داشتند، این بدافزار بهگونهای برنامهریزی شده است تا خود را به صورت انتخابی در درایوهای قابلحمل کپی کند. به این ترتیب، میتواند هر بار که یک درایو USB آلوده به دستگاه دیگری متصل شود، بهصورت جانبی به سایر سیستمهای Air-Gapped نیز انتقال یابد.
