A kiberbiztonsági iparág nagy részének az USB-meghajtókon keresztül terjesztett rosszindulatú szoftverek jelentik az elmúlt – vagy az azt megelőző – évtized furcsa hackerfenyegetését. Azonban úgy tűnik, hogy kínai támogatású kémek egy csoportja rájött, hogy a fejlődő országokban dolgozó globális szervezetek még mindig fél lábbal a technológiai múltban élnek, ahol az USB-meghajtókat olyan gyakran osztogatják, mint névjegykártyákat, és az internet kávézók messze nincsenek kihalva. Az elmúlt év során ezek a kémkedésre összpontosító hackerek kihasználták ezt a földrajzi időugrást, hogy visszahozzák a retro USB-malware-t tucatnyi áldozat hálózatába.
A Mandiant kiberbiztonsági cég kutatói a mai mWise biztonsági konferencián bejelentették, hogy egy Kínával összekapcsolt hacker csoportnak, amelyet UNC53 néven említenek, sikerült legalább 29 szervezetet hackelniük világszerte tavaly év elejétől kezdve. Ehhez az ódivatú módszerhez nyúltak, hogy munkatársaikat becsapva fertőzött USB-meghajtókat dugjanak be a hálózataikon található számítógépekbe. Bár az áldozatok az Egyesült Államokban, Európában és Ázsiában találhatók, a Mandiant szerint sok fertőzés forrása multinacionális szervezetek Afrikában működő műveleteiben található, olyan országokban, mint Egyiptom, Zimbabwe, Tanzánia, Kenya, Ghana és Madagaszkár.
A malware, amit az UNC53 csoport használ, Sogu néven ismert, és hosszú ideje létezik, de mostanában újra előkerült, különösen USB-meghajtók segítségével terjedve. Az áldozatok között számos iparág szerepel, például tanácsadás, marketing, mérnöki, építőipar, bányászat, oktatás, bankügy, gyógyszeripar és kormányzati szervezetek. A malware terjedése olyan helyeken indult, mint internet kávézók vagy nyomdák, majd onnan fertőzte meg a számítógépeket.
A Sogu USB-malware egyszerű, de ravasz trükköket használ a gépek fertőzésére és az adatok lopására, beleértve az "air-gapped" (internetkapcsolat nélküli) számítógépek megtámadását is. Amikor az infected USB-meghajtót egy rendszerbe helyezik, nem indul el automatikusan, mivel a legtöbb modern Windows gépen az autorun alapértelmezés szerint le van tiltva. Ehelyett megpróbálja becsapni a felhasználókat, hogy futtassanak egy végrehajtható fájlt a meghajtóról, amit ugyanazon névvel nevez el, mint a meghajtó maga, vagy ha a meghajtó nincs elnevezve, akkor a "removable media" nevet használja. A Sogu malware ezután másolja magát egy rejtett mappába a gépen.
Egy normál internetkapcsolattal rendelkező számítógépen a malware kapcsolatot teremt egy parancs- és ellenőrző szerverrel, majd elkezdi elfogadni a parancsokat a számítógép átkutatására vagy az adatok feltöltésére a távoli szerverre. Emellett másolja magát bármely más USB-meghajtóra is, amit a PC-be helyeznek, hogy folytathassa a terjedést gépről gépre. Ha a Sogu USB malware egy air-gapped gépre kerül, először megpróbálja bekapcsolni az áldozat Wi-Fi adapterét és kapcsolódni a helyi hálózatokhoz. Ha ez nem sikerül, akkor az ellopott adatokat egy mappába helyezi az infected USB-meghajtón, és ott tárolja, amíg egy internetkapcsolattal rendelkező gépbe dugják be, ahol az adatokat a parancs- és ellenőrző szerverre küldheti.
A Sogu malware fókuszában a kémkedés van, és viszonylag magas számú USB-alapú fertőzést okoz, ami ritka jelenség 2023-ban. Az USB terjedése emlékeztet az NSA által létrehozott Flame malware-re, ami 2012-ben találták meg air-gapped rendszerek támadójaként, vagy akár az Agent.btz malware-re, ami 2008-ban találták meg a Pentagon hálózataiban.
Azonban meglepő módon a Sogu kampány csak egy szélesebb USB-malware visszatérés része, amit a Mandiant az elmúlt években észlelt. 2022-ben például egy hatalmas növekedést láttak az egy cybercrime-focused USB malware-ből, amit Raspberry Robin néven ismertek. És éppen idén észleltek egy másik USB-alapú kémkedési malware-t, amit Snowydrive néven azonosítottak, és hét hálózati behatolásban használtak.
Mindez azt jelenti, hogy a hálózatvédelemmel foglalkozók ne gondolják, hogy az USB-fertőzések problémája teljes egészében megoldódott, különösen a fejlődő országokban működő globális hálózatokban. Tudatában kell lenniük annak, hogy államilag támogatott hackercsoportok aktív kémkedési kampányokat folytatnak ezekkel az USB-meghajtókkal. "Észak-Amerikában és Európában úgy gondoljuk, hogy ez egy régi fertőzési vektor, amit lezártak", mondja Leong. "De van olyan földrajzi régió is, ahol továbbra is ki vannak téve ennek a fenyegetésnek. Még mindig aktuális és még mindig kihasználják."