Эксперты компании Forcepoint обнаружили продвинутую вредоносную кампанию, направленную против промышленных предприятий. Преступники использовали специально разработанный червь для программы AutoCAD, чтобы выкрасть конфиденциальные корпоративные материалы.

Первые атаки злоумышленников относятся еще к 2014 году, последние жертвы появились в середине 2018-го. По словам специалистов, преступников в рамках как минимум одной кампании интересовали энергетические предприятия, в частности сектор возобновляемой энергии. Вторым их приоритетом стала автомобильная промышленность.

В то же время под удар попало значительное количество строительных и обслуживающих компаний, государственных проектных структур и прочих организаций, использующих AutoCAD. Это связано со способностью вредоносного ПО к самокопированию, в результате чего круг жертв расширяется без помощи со стороны.

Атака построена на модулях AutoCAD, которые программа использует для управления скриптами. Функционально эти сценарии схожи с макросами Microsoft Word, главная разница в использованном языке программирования (Lisp вместо Visual Basic). Отсюда название файлов — Fast-Load AutoLISP, *.fas.

В папке с проектом AutoCAD эти модули скрыты и загружаются автоматически при просмотре основного файла. Если пользователь разрешает исполнение кода, на компьютере распаковывается вредоносный загрузчик. Червь меняет настройки AutoCAD таким образом, чтобы в дальнейшем копироваться в каждый открываемый проект — так обеспечивается самостоятельное распространение.

Чтобы усыпить внимание жертвы, сам файл открывается без ошибок, а содержимое соответствует его названию. Для приманки преступники использовали украденные ранее реальные чертежи существующих объектов. Эксперты нашли среди этих материалов проект самого длинного в мире морского моста — магистрали Гонконг — Чжухай — Макао, которая открылась в октябре этого года.

Как правило, жертвы получали зараженные файлы по электронной почте. В некоторых случаях, когда вложение оказывалось слишком массивным, злоумышленники отправляли ссылку на внешний ресурс с просьбой скачать архив.

Эксперты предупреждают, что преступники могут отправить вредоносные файлы и обычной почтой, скопировав их на флешку или DVD. Многие компании из целевой отрасли так отправляют друг другу важные материалы, не желая загружать их в облако или перегружать интернет-каналы увесистыми архивами.

По словам специалистов, группировка охотилась за проектными данными важных объектов, чтобы позже продать их на черном рынке. Впрочем, точные цели преступников остаются неизвестными, поскольку эксперты пока не установили, какое ПО зловред догружает с управляющего сервера и какие команды получает.

Это может говорить о том, что активная фаза кампании уже прошла, как и то, что атаки явно проработаны с учетом индивидуальных особенностей некой конкретной организации. Учитывая, что впервые зловред активизировался в 2014 году, аналитики допускают, что он уже отработал свою задачу. Другой вариант, напротив, предполагает, что специалисты обнаружили червь в период затишья.

Чтобы защититься от угрозы, пользователям необходимо ограничить запуск модулей FAS. Инструкции можно найти на сайте разработчика AutoCAD. Там же эксперты опубликовали рекомендации для жертв вредоносного ПО, которые помогут им восстановить целостность системы после атаки.

Ранее «Лаборатория Касперского» сообщила, что в 2017 году от целевых атак пострадали 28% промышленных предприятий — на 8 п. п. больше, чем в 2016-м. При этом три из четырех компаний из этого сектора ожидают кибератак в ближайшее время.

Категории: Вредоносные программы, Главное, Хакеры