0
0
PARA GRANDE PARTE No setor de segurança cibernética, a disseminação de malware por meio de unidades USB representa a estranha ameaça hacker da última década — ou da década anterior. Mas um grupo de espiões apoiados pela China parece ter descoberto que as organizações globais com funcionários em países em desenvolvimento ainda mantêm um pé no passado tecnológico, onde pen drives são distribuídos como cartões de visita e os cibercafés estão longe de estar extintos. Durante o ano passado, esses hackers focados em espionagem exploraram essa distorção geográfica do tempo para trazer o malware USB retro de volta às redes de dezenas de vítimas.
Na conferência de segurança mWise de hoje, pesquisadores da empresa de segurança cibernética Mandiant revelaram que um grupo de hackers ligado à China, chamado UNC53, conseguiu hackear pelo menos 29 organizações em todo o mundo desde o início do ano passado, usando a abordagem tradicional de truques. sua equipe a conectar unidades USB infectadas com malware em computadores em suas redes. Embora essas vítimas se espalhem pelos Estados Unidos, Europa e Ásia, Mandiant afirma que muitas das infecções parecem ter origem em operações de organizações multinacionais baseadas em África, em países como o Egipto, Zimbabué, Tanzânia, Quénia, Gana e Madagáscar. Em alguns casos, o malware – na verdade, diversas variantes de uma cepa conhecida como Sogu, com mais de uma década de existência – parece ter viajado através de pendrives USB de computadores compartilhados em gráficas e cibercafés, infectando indiscriminadamente computadores em uma ampla rede de dados.
Os pesquisadores da Mandiant dizem que a campanha representa um renascimento surpreendentemente eficaz do hacking baseado em pen drives, que foi amplamente substituído por técnicas mais modernas, como phishing e exploração remota de vulnerabilidades de software. “As infecções por USB estão de volta”, diz Brendan McKeague, pesquisador da Mandiant. “Na economia globalmente distribuída de hoje, uma organização pode estar sediada na Europa, mas tem trabalhadores remotos em regiões do mundo como África. Em vários casos, locais como o Gana ou o Zimbabué foram o ponto de infecção para estas intrusões baseadas em USB.”
O malware encontrado pela Mandiant, conhecido como Sogu ou às vezes Korplug ou PlugX, tem sido usado em formatos não USB por uma ampla gama de grupos de hackers baseados na China há mais de uma década. O trojan de acesso remoto apareceu, por exemplo, na notória violação do Gabinete de Gestão de Pessoal dos EUA pela China em 2015, e a Agência de Segurança Cibernética e de Infraestruturas alertou sobre a sua utilização novamente numa ampla campanha de espionagem em 2017 . Mas em janeiro de 2022, a Mandiant começou a ver novas versões do trojan aparecendo repetidamente em investigações de resposta a incidentes, e cada vez rastreou essas violações em pen drives USB infectados pelo Sogu.
Desde então, a Mandiant tem observado a campanha de hackers USB aumentar e infectar novas vítimas ainda este mês, abrangendo consultoria, marketing, engenharia, construção, mineração, educação, bancos e produtos farmacêuticos, bem como agências governamentais. A Mandiant descobriu que, em muitos casos, a infecção foi detectada a partir de um computador partilhado num cibercafé ou numa gráfica, espalhando-se a partir de máquinas como um terminal de acesso à Internet acessível ao público no Aeroporto Robert Mugabe, em Harare, no Zimbabué. “Este é um caso interessante se o ponto de infecção pretendido pelo UNC53 for um local onde as pessoas viajam regionalmente por toda a África ou mesmo possivelmente espalhando esta infecção internacionalmente fora de África”, diz o investigador da Mandiant, Ray Leong.
Leong observa que a Mandiant não conseguiu determinar se tal local era um ponto de infecção intencional ou “apenas mais uma parada no caminho, já que esta campanha estava se propagando por uma região específica”. Também não ficou totalmente claro se os hackers tentaram usar o seu acesso às operações de uma multinacional em África para atingir as operações da empresa na Europa ou nos EUA. Pelo menos em alguns casos, parecia que os espiões estavam concentrados nas próprias operações africanas, dado o interesse estratégico e económico da China no continente.
O método da nova campanha Sogu para espalhar infecções por USB pode parecer uma forma particularmente indiscriminada de conduzir espionagem. Mas, tal como os ataques à cadeia de fornecimento de software ou os ataques watering hole que os espiões patrocinados pelo Estado chinês têm repetidamente realizado, esta abordagem pode permitir que os hackers lancem uma ampla rede e procurem nas suas vítimas alvos específicos de alto valor, sugerem McKeague e Leong. . Eles também argumentam que isso significa que os hackers por trás da campanha provavelmente terão recursos humanos significativos para “classificar e fazer a triagem” dos dados que roubam dessas vítimas para encontrar informações úteis.
O malware Sogu USB usa uma série de truques simples, mas inteligentes, para infectar máquinas e roubar seus dados, inclusive, em alguns casos, até mesmo acessar computadores “air-gap” sem conexão com a Internet . Quando uma unidade USB infectada é inserida em um sistema, ela não é executada automaticamente, visto que a maioria das máquinas Windows modernas tem a execução automática desabilitada por padrão para dispositivos USB. Em vez disso, ele tenta enganar os usuários para que executem um arquivo executável na unidade, nomeando esse arquivo com o nome da própria unidade ou, se a unidade não tiver nome, a “mídia removível” mais genérica – um estratagema projetado para enganar o usuário e fazê-lo clicar sem pensar. o arquivo quando eles tentam abrir a unidade. O malware Sogu então se copia para uma pasta oculta na máquina.
Em um computador normal conectado à Internet, o malware direciona-se para um servidor de comando e controle e, em seguida, começa a aceitar comandos para pesquisar a máquina da vítima ou enviar seus dados para esse servidor remoto. Ele também se copia para qualquer outra unidade USB inserida no PC para continuar sua propagação de máquina para máquina. Se uma variante do malware Sogu USB se encontrar em um computador isolado, ele primeiro tenta ligar o adaptador Wi-Fi da vítima e conectar-se às redes locais. Se isso falhar, ele coloca os dados roubados em uma pasta na própria unidade USB infectada, armazenando-os lá até que sejam conectados a uma máquina conectada à Internet, onde os dados roubados possam ser enviados ao servidor de comando e controle.
O foco da Sogu na espionagem e no número relativamente alto de infecções baseadas em USB é uma visão rara em 2023. Sua propagação por USB lembra mais ferramentas como o malware Flame criado pela NSA que foi descoberto visando sistemas isolados em 2012, ou mesmo o Malware russo Agent.btz que foi encontrado nas redes do Pentágono em 2008 .
FONTE: WIRED