Za veći dio industrije kibernetičke sigurnosti, malver koji se širi putem USB pogona predstavlja zastarjelu prijetnju hakera iz prošlog desetljeća - ili onu iz razdoblja prije toga.

No, čini se da je grupa špijuna iz Kine shvatila da globalne organizacije sa zaposlenicima u zemljama u razvoju još uvijek koriste tehnološku prošlost, gdje se USB pogoni razmjenjuju poput posjetnica, a internetski kafići daleko su od izumiranja.

Tijekom protekle godine, ti hakeri usmjereni na špijunažu iskoristili su ovaj tehnološko - vremenski jaz kako bi vratili retro USB malver u mreže desetaka žrtava.

Na današnjoj konferenciji o kibernetičkoj sigurnosti mWise, istraživači iz tvrtke za kibernetičku sigurnost Mandiant otkrili su da je skupina hakera povezana s Kinom koju nazivaju UNC53 uspjela hakirati barem 29 organizacija širom svijeta od početka prošle godine koristeći staromodni pristup prevarom zaposlenika da priključe zaražene USB pogone u računala na njihovim mrežama.

Iako se žrtve protežu od Sjedinjenih Američkih Država, Europe do Azije, Mandiant tvrdi kako mnogi virusi potječu iz ispostava multinacionalnih organizacija smještenih u Africi, u zemljama poput Egipta, Zimbabvea, Tanzanije, Kenije, Gane i Madagaskara. U nekim slučajevima, malver - zapravo, nekoliko varijanti malvera starog više od desetljeća poznatog kao Sogu - čini se kako se širio putem USB pogona iz zajedničkih računala u tiskarama i internetskim kafićima, nebirajući računala u širokom lovu na podatke.

Istraživači iz Mandianta tvrde da ova kampanja predstavlja iznenađujuće učinkovitu obnovu hakiranja temeljenog na USB pogonima, koji je uglavnom zamijenjen modernijim tehnikama poput phishinga i udaljenog iskorištavanja softverskih ranjivosti.

"Infekcije putem USB-a su se vratile", kaže istraživač iz Mandianta Brendan McKeague.

"U današnjoj globalnoj distribuiranoj ekonomiji, organizacija može imati sjedište u Europi, ali imati udaljene radnike u regijama svijeta poput Afrike. U nekoliko slučajeva, mjesta poput Gane ili Zimbabvea bila su točka infekcije za ove intruzije putem USB-a."

Malver koji je Mandiant pronašao, poznat kao Sogu ili ponekad Korplug ili PlugX, koristi se u ne-USB oblicima od strane raznih grupa hakera uglavnom sa sjedištem u Kini već više od desetljeća.

Ovaj trojanski konj za udaljeni pristup pojavio se, primjerice, u poznatom hakiranju Ureda za upravljanje osobljem Sjedinjenih Američkih Država 2015. godine, a Agencija za kibernetičku sigurnost i infrastrukturu upozorila je da se ponovno koristi u širokoj kampanji špijunaže 2017. godine.

No, u siječnju 2022. godine, Mandiant je počeo primjećivati nove verzije trojanca koje se redovito pojavljuju u istraživanjima odgovora na incidente, a svaki put je pratio te napade do USB pogona zaraženih Soguom.

Od tada, Mandiant je promatrao kako se ta kampanja hakiranja putem USB-a pojačava i inficira nove žrtve čak do ovog mjeseca, protežući se kroz konzultantske usluge, marketing, inženjering, građevinarstvo, rudarstvo, obrazovanje, bankarstvo, farmaceutsku industriju, kao i vladine agencije.

Mandiant je otkrio da su u mnogim slučajevima infekcije prenesene s zajedničkog računala u internetskim kafićima ili tiskarama, šireći se s računala poput javno dostupnog terminala za pristup internetu na zračnoj luci Robert Mugabe u Harareu, Zimbabve.

"To je zanimljiv slučaj ako je cilj UNC53 mjesta gdje ljudi putuju regionalno kroz Afriku ili čak šire ovo širenje infekcije izvan Afrike", kaže istraživač iz Mandianta Ray Leong.

Leong napominje da Mandiant nije mogao utvrditi je li bilo koje takvo mjesto bila namjerna točka infekcije ili "samo još jedna stanica duž puta dok se kampanja širila određenom regijom".

Također nije bilo sasvim jasno jesu li hakeri pokušavali iskoristiti svoj pristup operacijama stranih radnika u Africi kako bi ciljali europske ili američke operacije tvrtki. U nekim slučajevima barem, činilo se da su špijuni usmjereni na same afričke operacije, s obzirom na strateški i ekonomski interes Kine na tom kontinentu.

Metoda širenja infekcija putem USB-a nove kampanje Sogu možda se čini posebno neodređenom za provođenje špijunaže. No, slično kao i napadi na softverski lanac ili napadi na središta koje su kineski špijuni državne razine ponavljali, ova strategija omogućava hakerima da postave široku mrežu i pretraže svoje žrtve u potrazi za određenim ciljevima visoke vrijednosti, sugeriraju McKeague i Leong.

Također tvrde da to znači da hakeri koji stoje iza ove kampanje vjerojatno imaju značajne ljudske resurse za "sortiranje i trijažiranje" podataka koje kradu od tih žrtava kako bi pronašli korisne informacije.

Kako ''radi'' Sogu

USB malver Sogu koristi niz jednostavnih, ali pametnih trikova kako bi zarazio računala i ukrao njihove podatke, uključujući u nekim slučajevima čak i pristupanje "izoliranim" računalima bez internetske veze.

Kad se zaraženi USB pogon umetne u sustav, ne pokreće se automatski, s obzirom da su većini modernih Windows računala onemogućeni automatsko pokretanje za USB uređaje.

Umjesto toga, pokušava prevariti korisnike da pokrenu izvršnu datoteku na pogonu tako što će tu datoteku nazvati prema samom pogonu ili, ako pogon nema naziv, općenito "prijenosni medij" - prijevara osmišljena kako bi korisnika nesvjesno natjerala da klikne na datoteku kada pokuša otvoriti pogon. Zatim se Sogu malver kopira u skriveni mapu na računalu.

Na normalnom računalu povezanom s internetom, malver se povezuje s poslužiteljem za naredbe i kontrolu, zatim počinje primati naredbe za pretraživanje računala žrtve ili slanje svojih podataka na taj udaljeni poslužitelj.

Također se kopira na bilo koji drugi USB pogon umetnut u PC kako bi nastavio širenje s računala na računalo. Ako se jedna varijanta USB malvera Sogu umjesto toga nađe na računalu izoliranom od interneta, prvo pokušava uključiti Wi-Fi adapter žrtve i povezati se s lokalnim mrežama.

Ako to ne uspije, sprema ukradene podatke u mapu na zaraženom USB pogonu sve dok se ne umetne u računalo povezano s internetom gdje ukradeni podaci mogu biti poslani na poslužitelj za naredbe i kontrolu.

Fokus Sogu malvera na špijunaži i relativno visok broj infekcija putem USB-a rijedak je prizor u 2023. godini. Njegovo širenje putem USB-a podsjeća na alate poput Flame malvera koji je NSA stvorio, a otkriven je 2012. godine, ili čak na ruski malver Agent.btz koji je pronađen unutar mreža Pentagona 2008. godine.

Međutim, kampanja Sogu iznenađujuće je samo dio šireg uspona USB malvera koje je Mandiant primijetio u posljednjim godinama, tvrde istraživači.

Snowydrive

Tako su, primjerice, 2022. godine primijetili masivan porast infekcija od USB malvera usmjerenog na kibernetički kriminal poznatog kao Raspberry Robin.

A upravo ove godine primijetili su drugu vrstu USB malvera za špijunažu poznatog kao Snowydrive koji se koristi u sedam upada u mreže.

Sve to, tvrde McKeague i Leong, znači da se branitelji mreže ne bi trebali zavaravati da su infekcije putem USB-a riješen problem - pogotovo u globalnim mrežama koje uključuju operacije u zemljama u razvoju. Trebali bi biti svjesni da državni hakeri provode aktivne kampanje špijunaže putem tih USB stickova.

"U Sjevernoj Americi i Europi, mislimo da je ovo stari vektor infekcije koji je zaključan", kaže Leong. "Ali postoje izloženosti u ovoj drugoj geografiji koje su ciljane. To je i dalje relevantno i i dalje se zloupotrebljava."