Старая угроза с новым лицом: Китай воскрешает USB-вирусы

Старая угроза с новым лицом: Китай воскрешает USB-вирусы

Африка стала первой, где вирусам комфортно распространяться.

image

Времена, когда USB-флешки были основным инструментом для распространения вредоносного ПО, казались далеким прошлым. Однако по данным ИБ-компании Mandiant, китайская хакерская группа UNC53 воспользовалась таким методом для атаки на как минимум 29 по всему миру с начала прошлого года.

Согласно Mandiant, большинство заражений происходят в странах Африки, включая Египет, Зимбабве, Танзанию, Кению, Гану и Мадагаскар. Вирус, известный как Sogu, в некоторых случаях распространялся через общедоступные компьютеры в интернет-кафе и типографиях.

Старые методы в новом исполнении

Старый метод заражения оказался удивительно эффективным, особенно в развивающихся странах, где флешки до сих пор активно используются. Это особенно актуально для многонациональных компаний с удаленными сотрудниками в этих регионах.

Sogu использует ряд простых, но изощренных методов для заражения компьютеров и кражи данных. Вирус даже способен заражать Air Gap системы, не подключенные к интернету. После внедрения на компьютер, вредоносное ПО устанавливает соединение с удаленным сервером, куда и отправляются украденные данные. Метод позволяет хакерам создать широкую сеть зараженных систем, среди которых можно выбрать наиболее ценные жертвы. «Это означает, что у хакеров достаточно человеческих ресурсов для обработки украденной информации, как отмечают исследователи.

Удивительно, но Sogu — это лишь часть более широкого возрождения USB-вирусов , о котором рассказывалось ещё в июле. Кроме того, в июне исследователи безопасности Check Point обнаружили , что китайская группировка Camaro Dragon (Mustang Panda) использует новый штамм вредоносного ПО под названием WispRider, которое предназначено для кражи данных и распространяется через скомпрометированные USB-накопители.

Африканские страны ранее уже подвергались воздействию компьютерных вирусов. Например, в марте были обнаружены множественные заражения USB-червём PlugX в Африке, а также в Папуа-Новой Гвинее и Монголии. PlugX способен собирать системную информацию, обходить антивирусы и брандмауэры, управлять файлами пользователя, выполнять вредоносный код и даже давать злоумышленникам удалённый доступ над заражённым компьютером.

Исследователи подчеркивают, что ИБ-специалисты не должны считать проблему USB-вирусов решенной, особенно в глобальных сетях, включающих операции в развивающихся странах. Например, в Северной Америке и Европе исследователи считают, что это устаревший вектор заражения, который был ликвидирован, но есть уязвимости в других географических регионах, которые все еще эксплуатируются.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь