Jak hakerzy włamują się do rządu i wojska, infekując urządzenia USB

Ostatnia aktualizacja gru 3, 2022

Jeśli podłączysz dysk USB do urządzenia zainfekowanego tym złośliwym oprogramowaniem, kopia trojana zostanie na nim po cichu zainstalowana.

Grupa hakerska Transparent Tribe (znana również jako PROJECTM i MYTHIC LEOPARD) przeprowadziła ataki na rządy i personel wojskowy 27 stanów przy użyciu Crimson Trojan, zaprojektowanego do infekowania urządzeń USB, a następnie rozprzestrzeniania złośliwego oprogramowania na inne urządzenia USB podłączone do systemu.

„Hakerzy z Transparent Tribe koncentrują się na inwigilacji i szpiegostwie, a aby osiągnąć te cele, grupa stale rozwija swój zestaw narzędzi w zależności od zamierzonego celu" — napisał Kaspersky na swoim blogu.

Hakerzy atakowali ofiary z 27 krajów, ale większość z nich znajdowała się w Afganistanie, Pakistanie, Indiach, Iranie i Niemczech.

Sekwencja ataku zaczyna się od spear-phishingu. Atakujący wysyłają fałszywe wiadomości wraz ze złośliwymi dokumentami Microsoft Office zawierającymi osadzone makro, które instaluje w systemie trojana Crimson Remote Access (RAT).

Jeśli ofiara da się nabrać na podstęp i włączy makra, trojan zostaje uruchomiony i umożliwia hakerowi wykonywanie różnych funkcji w systemie ofiary, w tym łączenie się z serwerem dowodzenia i kontroli (C2) w celu kradzieży danych i zdalnej aktualizacji złośliwego oprogramowania, kradzieży plików, robić zrzuty ekranu, a także hakować mikrofony i kamery internetowe w celu nadzoru audio i wideo.

Według ekspertów z Kaspersky Lab trojan może również kraść pliki z nośników wymiennych i zbierać dane uwierzytelniające przechowywane w przeglądarkach.

Złośliwe oprogramowanie istnieje w trzech wersjach, które zostały skompilowane w 2017, 2018 i pod koniec 2019 roku, co sugeruje, że jest ono nadal aktywnie rozwijane. Między czerwcem 2019 a czerwcem 2020 znaleziono ponad 200 próbek komponentów Transparent Tribe Crimson.

Mapa dystrybucji trojanów

Hakerzy z Transparent Tribe używają również złośliwego oprogramowania, takiego jak Crimson dla .NET i Peppy dla Pythona. Ale najbardziej interesującą rzeczą jest nowe narzędzie ataku o nazwie USBWorm. Może nie tylko kraść pliki, ale także infekować inne podatne na ataki urządzenia.

Jeśli podłączysz dysk USB do urządzenia zainfekowanego tym złośliwym oprogramowaniem, kopia trojana zostanie na nim po cichu zainstalowana. Szkodliwe oprogramowanie wyświetli listę wszystkich katalogów na dysku, a następnie ukryje kopię w katalogu głównym dysku, zmieniając atrybut katalogu, a następnie zmieni go na „ukryty”. Trojan wykorzystuje ikonę systemu Windows, aby nakłonić ofiarę do kliknięcia i wykonania ładunku podczas próby uzyskania dostępu do katalogów.

„To powoduje, że wszystkie rzeczywiste katalogi są ukrywane i zastępowane kopią złośliwego oprogramowania o tej samej nazwie katalogu” – zauważają naukowcy.

Jeśli dysk USB jest podłączony do zainfekowanego komputera, kopia trojana jest dyskretnie instalowana na nośniku wymiennym. Szkodliwe oprogramowanie wylicza wszystkie katalogi na dysku, a następnie zapisuje kopię trojana w katalogu głównym dysku. Atrybut katalogu jest następnie zmieniany na „ukryty”, a fałszywa ikona systemu Windows jest używana do nakłaniania ofiar do kliknięcia i wykonania ładunku podczas próby uzyskania dostępu do katalogów.