סקריפט חדש של PowerShell – נוזקה בשם PowerDrop התגלתה במתקפות סייבר המכוונות לתעשיית ההגנה האווירית והחלל בארה"ב. הנוזקה התגלתה על ידי חוקרי אבטחה בחברת Adlumin, שבחודש שעבר מצאו נוכחות של הנוזקה ברשת המחשוב של קבלן ביטחוני.
נוזקת PowerDrop מסתמכת על טכניקות מתקדמות כדי להתחמק מזיהוי: "נראה שהקוד של PowerDrop הוא מותאם אישית, תוכנן להתחמק מזיהוי, מבוצע באמצעות WMI, אינו נמצא בקושחה, משתמש בשיטות לא שכיחות לתקשורת וחילוץ נתונים ואינו זמין כמוצר מדף, " הסביר ג'יימס לייבלי – מומחה למחקר אבטחת נקודות קצה והוסיף: "בהתבסס על היכולות של PowerDrop, האופן שבו היא מיושמת והאופן שבו משתמשים פושעי הסייבר בנוזקה בתעשיית התעופה והחלל, מעידים על פעילות מתמשכת".
אנדרו בארט – סגן נשיא בחברת Coalfire, ציין כי פושעי סייבר משתמשים בדרך כלל ב- PowerShell בגלל מגוון התכונות הנרחב שלה והיכולת שלה להימנע מגילוי על ידי מינוף תשתית קיימת בסביבות מחשוב נפוצות: "תכונות אלו שימושיות מכיוון שניתן לשלב אותן בקלות בסביבת עבודה באמצעות דואר אלקטרוני או USB ואינן דורשות גישה מתוחכמת של פגיעות יום אפס כחלק מהמתקפה" והוסיף: "יצרני מערכות הנשק העיקריות של ארה"ב ובעלות בריתה צריכים להיות בכוננות גבוהה לפעילות זו ולפקח באופן קריטי על שרשראות האספקה שלהם למקרה שהן תהפוכנה למקור למתקפת סייבר".
מחברת Adlumin נמסר כי עדיין לא זוהו פושעי הסייבר מאחורי נוזקת PowerDrop, אך הם חושדים במעורובת האקרים של מדינות לאום: “נכון לעכשיו נמנעה קהילת אבטחת המידע מלהפנות אצבע מאשימה, אולם החשדות מצביעים על יריבים ממדינות לאום בשל הסכסוך המתמשך באוקראינה וההתמקדות המועצמת שלהם בתכניות תעופה, חלל וטילים". החברה מציעה לערוך סריקות פגיעות במערכות Windows כאמצעי זהירות חיוני ולהיות קשובים לכל פעילות חריגה שמקורה ברשתות שלהן.
