Νομίζατε ότι οι συσκευές χωρίς οποιαδήποτε σύνδεση σε τοπικό ή άλλο δίκτυο (air-gapped devices) είναι ασφαλής; Ξανασκεφτείτε το! Το malware USBCulprit που αποκαλύφθηκε πρόσφατα χρησιμοποιείται από μια ομάδα γνωστή ως Cycldek, Conimes ή Goblin Panda και έχει σχεδιαστεί για να θέτει σε κίνδυνο συσκευές που δεν συνδέονται σε τοπικό ή άλλο δίκτυο μέσω USB.
Η Cycldek είναι μια κινεζική ομάδα APT που στόχευε τα κράτη της Νοτιοανατολικής Ασίας για μεγάλο χρονικό διάστημα για να κλέψει κυβερνητικές πληροφορίες και κρατικά μυστικά.
Το APT group έχει καταδείξει ενδιαφέρον για “μεγάλους οργανισμούς και κυβερνητικά ιδρύματα στο Βιετνάμ”, δήλωσε μια νέα έκθεση σχετικά με το malware USBCulprit της Kaspersky.
Για παράδειγμα, το 2013, η εταιρεία ασφαλείας CrowdStrike ανέφερε πώς η ομάδα χάκαρε «αμυντικούς, ενεργειακούς και κυβερνητικούς τομείς» σε συγκρουόμενα εδάφη της Νοτιοανατολικής Ασίας. Εκείνη την εποχή, η ομάδα είχε αξιοποιήσει τα exploits CVE-2012-0158 για να διασπείρει malware μέσω κακόβουλων εγγράφων του Microsoft Word.
Στα χρόνια που ακολούθησαν του περιστατικού, η ομάδα συνέχισε να επεκτείνει το οπλοστάσιό της, κάνοντας χρήση εγγράφων RTF με πολιτικό περιεχόμενο για την ανάπτυξη Trojans απομακρυσμένης πρόσβασης (RAT).
Αυτό που αποκάλυψε η Kaspersky αυτήν την εβδομάδα είναι ένα ειδικά σχεδιασμένο κρυφό εργαλείο που ονομάζεται «USBCulprit», το οποίο έχει εξελιγμένες δυνατότητες, ειδικά όταν χρησιμοποιείται σε ένα σύστημα που δεν συνδέεται σε κάποιο τοπικό ή άλλο δίκτυο.
Εισέρχεται στο σύστημα μέσω εγγράφων RTF ή άλλων άγνωστων μέσων, εκτελεί εκτεταμένη σάρωση του συστήματος του θύματος και αρχίζει να εισάγει “έγγραφα”.
“Αυτό το εργαλείο, το οποίο είδαμε να έχει γίνει download από εμφυτεύματα RedCore σε αρκετές περιπτώσεις, είναι σε θέση να σαρώσει διάφορα paths στις συσκευές των θυμάτων, να συλλέξει έγγραφα με συγκεκριμένες επεκτάσεις και να τα μεταφέρει σε μονάδες USB όταν είναι συνδεδεμένα στο σύστημα. Μπορεί επίσης να κάνει επιλεκτική αντιγραφή σε μια αφαιρούμενη μονάδα drive παρουσία ενός συγκεκριμένου αρχείου, γεγονός που υποδηλώνει ότι μπορεί να εξαπλωθεί πλευρικά, έχοντας μολύνει καθορισμένες μονάδες drive”, εξηγεί η Kaspersky.
Οι RedCore και BlueCore είναι όροι που χρησιμοποιούνται από την Kaspersky για να περιγράψουν τα δύο διαφορετικά στυλ (παραλλαγές) του malware που αναπτύσσονται από την ομάδα.
Η έκθεση της Kaspersky δείχνει ένα ολοκληρωμένο διάγραμμα για το πώς οι δύο παραλλαγές RedCore και BlueCore ενεργοποιούν και μοιράζονται πληροφορίες, με τη μορφή ενός καλά συντονισμένου “συμπλέγματος”.
Και οι δύο αυτές παραλλαγές έχουν αποδοθεί στην ομάδα Cycldek.
“Επιπλέον, λαμβάνοντας υπόψη τόσο τις διαφορές όσο και τις ομοιότητες, μπορούμε να καταλήξουμε στο συμπέρασμα ότι οι δραστηριότητες που είδαμε συνδέονται με μια ομάδα, την οποία ονομάζουμε Cycldek. Σε αρκετές περιπτώσεις, εντοπίσαμε μοναδικά εργαλεία που δημιουργήθηκαν από την ομάδα που λήφθηκαν από servers και των δύο ομάδων… Συνολικά, αυτό υποδηλώνει ότι οι οντότητες που λειτουργούν πίσω από όλα αυτά μοιράζονται πολλούς πόρους – τόσο κώδικα όσο και υποδομές – και λειτουργούν κάτω από μια ενιαία οργανωτική ομπρέλα. “
