Времена, когда USB-флешки были основным инструментом для распространения вредоносного ПО, казались далеким прошлым. Однако по данным ИБ-компании Mandiant, китайская хакерская группа UNC53 воспользовалась таким методом для атаки на как минимум 29 по всему миру с начала прошлого года.
Согласно Mandiant, большинство заражений происходят в странах Африки, включая Египет, Зимбабве, Танзанию, Кению, Гану и Мадагаскар. Вирус, известный как Sogu, в некоторых случаях распространялся через общедоступные компьютеры в интернет-кафе и типографиях.
Старые методы в новом исполнении
Старый метод заражения оказался удивительно эффективным, особенно в развивающихся странах, где флешки до сих пор активно используются. Это особенно актуально для многонациональных компаний с удаленными сотрудниками в этих регионах.
Sogu использует ряд простых, но изощренных методов для заражения компьютеров и кражи данных. Вирус даже способен заражать Air Gap системы, не подключенные к интернету. После внедрения на компьютер, вредоносное ПО устанавливает соединение с удаленным сервером, куда и отправляются украденные данные. Метод позволяет хакерам создать широкую сеть зараженных систем, среди которых можно выбрать наиболее ценные жертвы. «Это означает, что у хакеров достаточно человеческих ресурсов для обработки украденной информации, как отмечают исследователи.
Удивительно, но Sogu — это лишь часть более широкого возрождения USB-вирусов , о котором рассказывалось ещё в июле. Кроме того, в июне исследователи безопасности Check Point обнаружили , что китайская группировка Camaro Dragon (Mustang Panda) использует новый штамм вредоносного ПО под названием WispRider, которое предназначено для кражи данных и распространяется через скомпрометированные USB-накопители.
Африканские страны ранее уже подвергались воздействию компьютерных вирусов. Например, в марте были обнаружены множественные заражения USB-червём PlugX в Африке, а также в Папуа-Новой Гвинее и Монголии. PlugX способен собирать системную информацию, обходить антивирусы и брандмауэры, управлять файлами пользователя, выполнять вредоносный код и даже давать злоумышленникам удалённый доступ над заражённым компьютером.
Исследователи подчеркивают, что ИБ-специалисты не должны считать проблему USB-вирусов решенной, особенно в глобальных сетях, включающих операции в развивающихся странах. Например, в Северной Америке и Европе исследователи считают, что это устаревший вектор заражения, который был ликвидирован, но есть уязвимости в других географических регионах, которые все еще эксплуатируются.
