Для большей части индустрии кибербезопасности вредоносное ПО, распространяемое через USB-накопители, представляет собой причудливую хакерскую угрозу последнего десятилетия - или до этого. Но группа шпионов, поддерживаемых Китаем, похоже, выяснила, что глобальные организации с персоналом в развивающихся странах все еще держат ногу в технологическом прошлом, где флешки передаются, как визитные карточки, а интернет-кафе далеки от исчезновения. За последний год эти хакеры, ориентированные на шпионаж, воспользовались этой Для большей части индустрии кибербезопасности вредоносное ПО, распространяемое через USB-накопители, представляет собой причудливую хакерскую угрозу последнего десятилетия - или до этого. Но группа шпионов, поддерживаемых Китаем, похоже, выяснила, что глобальные организации с персоналом в развивающихся странах все еще держат ногу в технологическом прошлом, где флешки передаются, как визитные карточки, а интернет-кафе далеки от исчезновения. За последний год эти хакеры, ориентированные на шпионаж, использовали это географическое искажение времени, чтобы вернуть ретро USB-вредоносное ПО в десятки сетей жертв.
На сегодняшней конференции по безопасности mWise исследователи из компании Mandiant, занимающейся кибербезопасностью, показали, что хакерской группе, связанной с Китаем, которую они называют UNC53, с начала прошлого года удалось взломать как минимум 29 организаций по всему миру, используя подход старой школы, заключающийся в том, чтобы обманом заставить своих сотрудников подключать зараженные вредоносным ПО USB-накопители к компьютерам в своих сетях. В то время как эти жертвы охватывают Соединенные Штаты, Европу и Азию, Мандиант говорит, что многие из инфекций, по-видимому, происходят от На сегодняшней конференции по безопасности mWise исследователи из компании Mandiant, занимающейся кибербезопасностью, показали, что хакерской группе, связанной с Китаем, которую они называют UNC53, с начала прошлого года удалось взломать как минимум 29 организаций по всему миру, используя подход старой школы, заключающийся в том, чтобы обманом заставить своих сотрудников подключать зараженные вредоносным ПО USB-накопители к компьютерам в своих сетях. Хотя эти жертвы охватывают Соединенные Штаты, Европу и Азию, Мандиант говорит, что многие из инфекций, по-видимому, происходят от операций многонациональных организаций в Африке в таких странах, как Египет, Зимбабве, Танзания, Кения, Гана и Мадагаскар. В некоторых случаях вредоносное ПО - на самом деле, несколько вариантов более чем десятилетнего штамма, известного как Sogu, - по-видимому, распространялось через USB-накопитель с общих компьютеров в типографиях и интернет-кафе, без разбора заражая компьютеры в широко распространенной сети передачи данных.
Исследователи Mandiant говорят, что кампания представляет собой удивительно эффективное возрождение взлома на основе флэш-накопителей, которое в значительной степени было заменено более современными методами, такими как фишинг и удаленная эксплуатация уязвимостей программного обеспечения. «USB-инфекции вернулись», - говорит исследователь Mandiant Брендан Маккег. «В сегодняшней глобально распределенной экономике штаб-квартира организации может находиться в Европе, но у них есть удаленные работники в таких регионах мира, как Африка. В нескольких случаях места Исследователи Mandiant говорят, что кампания представляет собой удивительно эффективное возрождение взлома на основе флэш-накопителей, которое в значительной степени было заменено более современными методами, такими как фишинг и удаленная эксплуатация уязвимостей программного обеспечения. «USB-инфекции вернулись», - говорит исследователь Mandiant Брендан Маккег. «В сегодняшней глобально распределенной экономике штаб-квартира организации может находиться в Европе, но у них есть удаленные работники в таких регионах мира, как Африка. Во многих случаях такие места, как Гана или Зимбабве, были точкой заражения для этих вторжений на основе USB».
Найденное вредоносное ПО Mandiant, известное как Sogu или иногда Korplug или PlugX, уже более десяти лет используется в формах, отличных от USB, широким спектром хакерских групп, в основном базирующихся в Китае. Троян удаленного доступа появился, например, в печально известном взломе китайского Управления по управлению персоналом США в 2015 году, а Агентство по кибербезопасности и безопасности инфраструктуры предупредило о его повторном использовании в широкой шпионской кампании в 2017 году. Но в январе 2022 года Mandiant начал видеть новые версии Найденное вредоносное ПО Mandiant, известное как Sogu или иногда Korplug или PlugX, уже более десяти лет используется в формах, отличных от USB, широким спектром хакерских групп, в основном базирующихся в Китае. Троян удаленного доступа появился, например, в печально известном взломе китайского Управления по управлению персоналом США в 2015 году, а Агентство по кибербезопасности и безопасности инфраструктуры предупредило о его повторном использовании в широкой шпионской кампании в 2017 году. Но в январе 2022 года Mandiant начал видеть новые версии трояна, неоднократно появляющиеся в расследованиях реагирования на инциденты, и каждый раз он прослеживал эти нарушения до зараженных Sogu USB-накопителей.
С тех пор Mandiant наблюдает за тем, как кампания по взлому USB набирает обороты и заражает новых жертв еще в этом месяце, охватывая консалтинг, маркетинг, инженерное дело, строительство, горнодобывающую промышленность, образование, банковское дело и фармацевтику, а также правительственные учреждения. Mandiant обнаружил, что во многих случаях инфекция была заражена с общего компьютера в интернет-кафе или типографии, распространяясь с таких машин, как общедоступный терминал доступа в Интернет в аэропорту Роберта Мугабе в С тех пор Mandiant наблюдает за тем, как кампания по взлому USB набирает обороты и заражает новых жертв еще в этом месяце, охватывая консалтинг, маркетинг, инженерное дело, строительство, горнодобывающую промышленность, образование, банковское дело и фармацевтику, а также правительственные учреждения. Mandiant обнаружил, что во многих случаях инфекция была заражена с общего компьютера в интернет-кафе или типографии, распространяясь с таких машин, как общедоступный терминал доступа в Интернет в аэропорту имени Роберта Мугабе в Хараре, Зимбабве. «Это интересный случай, если предполагаемая точка заражения UNC53 - это место, где люди путешествуют по региону по всей Африке или даже, возможно, распространяют эту инфекцию на международном уровне за пределами Африки», - говорит исследователь Mandiant Рэй Леонг.
Леонг отмечает, что Mandiant не смог определить, было ли какое-либо такое место преднамеренной точкой заражения или «просто еще одной остановкой на этом пути, поскольку эта кампания распространялась по всему конкретному региону. Также не совсем ясно, пытались ли хакеры использовать свой доступ к операциям транснациональной корпорации в Африке для нацеливания на операции компании в Европе или США. В некоторых случаях, по крайней мере, казалось, что шпионы были сосредоточены на самих африканских операциях, учитывая Леонг отмечает, что Mandiant не смог определить, было ли какое-либо такое место преднамеренной точкой заражения или «просто еще одной остановкой на этом пути, поскольку эта кампания распространялась по всему конкретному региону. Также не совсем ясно, пытались ли хакеры использовать свой доступ к операциям транснациональной корпорации в Африке для нацеливания на операции компании в Европе или США. В некоторых случаях, по крайней мере, казалось, что шпионы были сосредоточены на самих африканских операциях, учитывая стратегический и экономический интерес Китая к континенту.
------------------
Подписывайся на наш Телеграм канал https://t.me/itvibenews