.
Para grande parte No setor de segurança cibernética, a disseminação de malware por meio de unidades USB representa a estranha ameaça hacker da última década — ou da década anterior. Mas um grupo de espiões apoiados pela China parece ter descoberto que as organizações globais com funcionários em países em desenvolvimento ainda mantêm um pé no passado tecnológico, onde pen drives são distribuídos como cartões de visita e os cibercafés estão longe de estar extintos. Durante o ano passado, esses hackers focados em espionagem exploraram essa distorção geográfica do tempo para trazer o malware USB retro de volta às redes de dezenas de vítimas.
Na conferência de segurança mWise de hoje, pesquisadores da empresa de segurança cibernética Mandiant revelaram que um grupo de hackers ligado à China, chamado UNC53, conseguiu hackear pelo menos 29 organizações em todo o mundo desde o início do ano passado, usando a abordagem tradicional de truques. sua equipe a conectar unidades USB infectadas com malware em computadores em suas redes. Embora essas vítimas se espalhem pelos Estados Unidos, Europa e Ásia, Mandiant afirma que muitas das infecções parecem ter origem em operações de organizações multinacionais baseadas em África, em países como o Egipto, Zimbabué, Tanzânia, Quénia, Gana e Madagáscar. Em alguns casos, o malware – na verdade, diversas variantes de uma estirpe conhecida como Sogu, com mais de uma década de existência – parece ter viajado através de uma pen USB a partir de computadores partilhados em gráficas e cibercafés, infectando indiscriminadamente computadores numa rede de dados generalizada.
Os pesquisadores da Mandiant dizem que a campanha representa um renascimento surpreendentemente eficaz do hacking baseado em pen drives, que foi amplamente substituído por técnicas mais modernas, como phishing e exploração remota de vulnerabilidades de software. “As infecções por USB estão de volta”, diz Brendan McKeague, pesquisador da Mandiant. “Na economia globalmente distribuída de hoje, uma organização pode estar sediada na Europa, mas tem trabalhadores remotos em regiões do mundo como África. Em vários casos, locais como o Gana ou o Zimbabué foram o ponto de infecção para estas intrusões baseadas em USB.”
O malware encontrado pela Mandiant, conhecido como Sogu ou às vezes Korplug ou PlugX, tem sido usado em formatos não USB por uma ampla gama de grupos de hackers baseados na China há mais de uma década. O trojan de acesso remoto apareceu, por exemplo, na notória violação do Gabinete de Gestão de Pessoal dos EUA pela China em 2015, e a Agência de Segurança Cibernética e de Infraestruturas alertou sobre a sua utilização novamente numa ampla campanha de espionagem em 2017. Mas em janeiro de 2017, Em 2022, a Mandiant começou a ver novas versões do trojan aparecendo repetidamente em investigações de resposta a incidentes, e cada vez que rastreava essas violações em pen drives USB infectados por Sogu.
Desde então, a Mandiant tem observado a campanha de hackers USB aumentar e infectar novas vítimas ainda este mês, abrangendo consultoria, marketing, engenharia, construção, mineração, educação, bancos e produtos farmacêuticos, bem como agências governamentais. A Mandiant descobriu que, em muitos casos, a infecção foi detectada a partir de um computador partilhado num cibercafé ou numa gráfica, espalhando-se a partir de máquinas como um terminal de acesso à Internet acessível ao público no Aeroporto Robert Mugabe, em Harare, no Zimbabué. “Este é um caso interessante se o ponto de infecção pretendido pelo UNC53 for um local onde as pessoas viajam regionalmente por toda a África ou mesmo possivelmente espalhando esta infecção internacionalmente fora de África”, diz o investigador da Mandiant, Ray Leong.
Leong observa que a Mandiant não conseguiu determinar se tal local era um ponto de infecção intencional ou “apenas mais uma parada no caminho, já que esta campanha estava se propagando por uma região específica”. Também não ficou totalmente claro se os hackers tentaram usar o seu acesso às operações de uma multinacional em África para atingir as operações da empresa na Europa ou nos EUA. Pelo menos em alguns casos, parecia que os espiões estavam concentrados nas próprias operações africanas, dado o interesse estratégico e económico da China no continente.
.
