Исследователи по безопасности обнаружили распространение вредоноса Sogu через USB-накопитель в операциях европейских и американских компаний на африканском континенте.
Для большей части индустрии кибербезопасности распространение вредоносов через USB-накопители представляет собой устаревшую угрозу хакеров прошлого десятилетия, или даже десятилетия до того. Однако группа шпионов, поддерживаемая Китаем, кажется выяснила, что многие глобальные организации, имеющие сотрудников в развивающихся странах, все еще остаются в прошлом с точки зрения технологий, где флеш-накопители передаются, как визитные карточки, и интернет-кафе далеко не вымерли. За последний год эти хакеры, ориентированные на шпионаж, использовали эту "географическую винтажность" для внедрения ретро-вредоносов через USB-накопители в десятки сетей их жертв.
На конференции по кибербезопасности mWise сегодня исследователи из компании по кибербезопасности Mandiant раскрыли, что группа хакеров, связанная с Китаем, которую они назвали UNC53, смогла взломать по крайней мере 29 организаций по всему миру с начала прошлого года, используя старомодный метод обмана сотрудников, заставляя их подключать USB-накопители, зараженные вредоносными программами, к компьютерам в их сетях. Хотя жертвы этой атаки распространяются по Соединенным Штатам, Европе и Азии, Mandiant утверждает, что многие инфекции кажется начались от операций многонациональных организаций, базирующихся в Африке, в странах, включая Египет, Зимбабве, Танзанию, Кению, Гану и Мадагаскар. В некоторых случаях вредоносное ПО, фактически несколько вариантов вируса старше десяти лет, известного как Sogu, кажется распространялось через USB-накопитель с общего компьютера в типографиях и интернет-кафе, беспорядочно заражая компьютеры в широкой сети сбора данных.
Исследователи Mandiant говорят, что эта кампания представляет собой удивительно эффективное возрождение хакерских атак с использованием USB-накопителей, которые в значительной степени были заменены более современными методами, такими как фишинг и удаленное использование уязвимостей программного обеспечения. "Инфицирование через USB вернулось", говорит исследователь Mandiant Брендан МакКиг. "В сегодняшней глобально распределенной экономике организация может иметь штаб-квартиру в Европе, но у нее есть удаленные сотрудники в регионах мира, таких как Африка. В нескольких случаях места, такие как Гана или Зимбабве, стали точками инфицирования для этих вторжений с использованием USB".
Вредоносное ПО, которое обнаружила Mandiant, известное как Sogu, иногда также называется Korplug или PlugX, использовалось различными группами хакеров, в большинстве своем базирующимися в Китае, в течение более десяти лет. Этот троян для удаленного доступа, например, был обнаружен в знаменитом взломе Офиса по кадрам администрации США в 2015 году, и Агентство кибербезопасности и защиты инфраструктуры предупреждало о его использовании в широкой кампании шпионажа в 2017 году. Однако в январе 2022 года Mandiant начала обнаруживать новые версии этого трояна, появлявшиеся в расследованиях по реагированию на инциденты, и каждый раз эти атаки можно было проследить до зараженных USB-накопителей Sogu.
С тех пор Mandiant следит за этой кампанией хакеров, использующих USB-накопители, и обнаруживает новых жертв, включая консалтинг, маркетинг, инжиниринг, строительство, горнодобывающую промышленность, образование, банковскую сферу и фармацевтику, а также государственные учреждения. Mandiant установила, что во многих случаях инфицирование началось с общего компьютера в интернет-кафе или типографии и распространялось с машин, таких как общедоступный интернет-терминал в аэропорту имени Роберта Мугабе в Хараре, Зимбабве. "Это интересный случай, если целью UNC53 была точка инфицирования там, где люди путешествуют по региону Африки или даже, возможно, распространение инфекции за пределами Африки международно", говорит исследователь Mandiant Рей Леонг.
Леонг отмечает, что Mandiant не могла определить, была ли любая из таких локаций намеренной точкой инфицирования или "просто еще одной остановкой на пути распространения этой кампании в каком-либо регионе". Также не было совсем ясно, стремились ли хакеры использовать свой доступ к операциям многонациональных компаний в Африке, чтобы нацелиться на операции компании в Европе или США. В некоторых случаях, по меньшей мере, казалось, что шпионы фокусировались на самых африканских операциях, учитывая стратегический и экономический интерес Китая к этому континенту.
Метод распространения USB-инфекций в новой кампании Sogu может показаться особенно нецеленаправленным способом ведения шпионажа. Однако, как утверждают МакКиг и Леонг, подобно атакам на поставщиков программного обеспечения или атакам на популярные ресурсы, которые китайские государственно-поддерживаемые шпионы многократно проводили, этот подход может позволить хакерам бросить широкую сеть и отсортировать своих жертв для определения конкретных ценных целей. Они также утверждают, что это означает, что хакеры, стоящие за этой кампанией, вероятно, располагают значительными человеческими ресурсами для "сортировки и классификации" данных, которые они крадут у своих жертв, чтобы найти полезную информацию.
Вредонос Sogu USB использует ряд простых, но хитрых трюков для инфицирования компьютеров и кражи данных, включая, в некоторых случаях, даже доступ к компьютерам, не подключенным к интернету. Когда зараженный USB-накопитель вставляется в систему, он не запускается автоматически, поскольку большинство современных компьютеров с операционной системой Windows по умолчанию отключают автозапуск для USB-устройств. Вместо этого он пытается обмануть пользователей, заставляя их запустить выполняемый файл на накопителе, назвав этот файл именем самого накопителя или, если накопитель не имеет имени, более общим именем "съемный носитель" - уловка, предназначенная, чтобы обмануть пользователя и заставить его беспрекословно кликнуть по файлу, когда он пытается открыть накопитель. Затем вредонос Sogu копирует себя в скрытую папку на компьютере.
На обычном компьютере с подключением к интернету вредонос отправляет запросы командному серверу и начинает принимать команды для поиска информации на компьютере жертвы или загрузки данных на удаленный сервер. Он также копирует себя на любой другой USB-накопитель, вставленный в компьютер, для продолжения распространения с машины на машину. Если один из вариантов вредоноса Sogu USB оказывается на компьютере, отключенном от интернета, он сначала пытается включить адаптер Wi-Fi жертвы и подключиться к локальным сетям. Если это не удается, он сохраняет украденные данные в папке на самом зараженном USB-накопителе, где они хранятся до момента, когда накопитель подключается к компьютеру с доступом в Интернет, и украденные данные могут быть отправлены на командный сервер.
Фокус вредоноса Sogu на шпионаже и относительно высокое количество инфекций через USB являются редким явлением в 2023 году. Его распространение через USB больше напоминает инструменты, такие как созданный НСА вирус Flame, который был обнаружен в 2012 году и направлен на системы, отключенные от Интернета, или вирус Agent.btz, который был обнаружен в сетях Пентагона в 2008 году.
Удивительно, но кампания Sogu представляет собой всего лишь часть более общего восстановления вредоносов через USB, которое, по словам исследователей Mandiant, наблюдалось в последние годы. В 2022 году, например, они заметили массовый всплеск инфекций от вредоносов через USB, ориентированных на киберпреступность, известных как Raspberry Robin. И в этом году они обнаружили другой вид вредоносов через USB, ориентированных на шпионаж, известных как Snowydrive, используемых в семи инцидентах с нарушением сетей.
Все это, по мнению МакКига и Леонга, означает, что сетевым защитникам не следует дурить себя, думая, что инфекции через USB - это решенная проблема, особенно в глобальных сетях, которые включают операции в развивающихся странах. Они должны осознавать, что государственные хакеры проводят активные кампании шпионажа с использованием USB-накопителей. "В Северной Америке и Европе мы считаем, что это старый способ инфекции, который был под контролем", - говорит Леонг. "Но есть уязвимости в других регионах, которые нацеливаются. Это все еще актуально, и это продолжает использоваться".
