10 января 2020

Атака стирателя Dustman на нефтяную компанию Bapco

Бахрейнская национальная нефтяная компания Bapco стала жертвой атаки вредоносного ПО Dustman. Инцидент произошел 29 декабря 2019 года. Атака не привела к серьезным последствиям. От заражения вредоносного ПО пострадала только часть компьютеров в сети Bapco, и компания смогла продолжить свою работу.

Упоминание данной атаки содержалось в предупреждении безопасности, опубликованном Национальным управлением кибербезопасности Саудовской Аравии (National Cybersecurity Authority, NCA). В этом документе сообщалось об обнаружении новой вредоносной программы, получившей название Dustman.

Dustman относится к вредоносным программам типа вайпер (стиратель) и предназначена для удаления данных на зараженных компьютерах. По результатам анализа вредоносного ПО было установлено, что Dustman представляет собой обновленную и улучшенную версию вайпера ZeroCleare, обнаруженного осенью прошлого года и имеющего некоторое сходство с вредоносным ПО Shamoon.

Обе программы, ZeroCleare и Dustman, используют сторонний драйвер Eldos RawDisk, а также скелет модифицированного Turla Driver Loader (TDL), опубликованного на GitHub в марте 2019 года. Однако методы, используемые при атаке Dustman отличаются от атак ZeroCleare. Во-первых, все необходимые драйверы и загрузчики Dustman поставляются в одном исполняемом файле, а не в двух файлах, как в случае с ZeroCleare. Во-вторых, Dustman перезаписывает том, тогда как ZeroCleare фактически стирает его, перезаписывая мусорными данными (0x55).

Согласно отчету NCA, первоначальный доступ к сети жертвы предположительно был получен злоумышленниками путем эксплуатации уязвимости удаленного выполнения кода в VPN-устройствах компании. После чего был получен доступ к VPN-серверу. Далее злоумышленникам удалось получить учетные записи администратора домена и службы консоли управления антивирусной системы, которые использовались для запуска и распространения вредоносного ПО. Вредоносное ПО вместе с инструментом удаленного выполнения PsExec было скопировано на сервер консоли управления антивирусной защитой, с помощью которой и был произведен запуск Dustman.

Схема атаки (источник: National Cybersecurity Authority)

Источники: ZDNet, Национальное управление по кибербезопасности Саудовской Аравии