23/11/21
Специалисты в области кибербезопасности из компании BioBright сообщили о кибератаке на предприятие по производству биопродуктов, в ходе которой использовалось необычное вредоносное ПО под названием Tardigrade.
Как обнаружили эксперты, Tardigrade имеет большой функционал и не ограничивается простым блокированием компьютеров по всему объекту. Вредоносная программа может адаптироваться к новой среде, маскироваться и даже работать автономно, когда она отключена от своего управляющего сервера. Сложность вредоноса и другие данные цифрового анализа указывают на хорошо финансируемую и мотивированную APT-группировку.
«Это, безусловно, самое сложное вредоносное ПО, которое мы когда-либо видели в этой сфере. Это очень похоже на другие атаки и кампании APT-группировок, нацеленные на другие отрасли», — отметили эксперты.
Tardigrade имеет некоторое сходство с популярным загрузчиком вредоносных программ Smoke Loader (также известный как Dofoil), который использовался для распространения вредоносных программ как минимум с 2011 года. Несмотря на сходство с Smoke Loader, Tardigrade кажется более продвинутым и предлагает расширенный набор конфигураций. Вредонос обладает функциональностью трояна и после установки в сети жертвы ищет сохраненные пароли, развертывает кейлоггер, начинает похищать данные и устанавливает бэкдор.
Как отметили исследователи, вредоносное ПО ведет себя по-разному в зависимости от среды, поэтому сигнатура постоянно меняется, и его труднее обнаружить. Эксперты тестировали вредонос почти 100 раз, и каждый раз он собирался на системе по-другому и взаимодействовал по-разному.
Tardigrade может принимать решения о том, как действовать в сети жертвы, даже при отсутствии связи с операторами. Как предположили специалисты, Tardigrade в первую очередь предназначена для распространения с помощью фишинговых атак, но также может распространяться через зараженные USB-накопители или даже автономно перемещаться из одной зараженной сети в другую.
