Търсене
Close this search box.

„Най-странната тенденция в киберсигурността“: Националните групи се връщат към флашките

USB устройствата отново са на мода, тъй като големи APT от Русия, Китай и други страни ги използват за кибератаки срещу BYOD.

Националните групи за киберзаплахи отново се обръщат към USB устройствата, за да компрометират строго охранявани правителствени организации и обекти от критичната инфраструктура.

След като от известно време излязоха от мода и със сигурност не бяха подпомогнати от блокирането на COVID, USB отново се оказват ефективен начин за заплахите на високо ниво да заобиколят физически защитата на особено чувствителни организации.

В основната си презентация тази седмица на CPX 2024 в Лас Вегас Мая Хоровиц, вицепрезидент по изследванията в Check Point, отбеляза, че през 2023 г. USB-тата са основен вектор на инфекция за поне три различни основни групи заплахи: Китайската Camaro Dragon (известна още като Mustang Panda, Bronze President, Earth Preta, Luminous Moth, Red Delta, Stately Taurus); руската Gamaredon (известна още като Primitive Bear, UNC530, ACTINIUM, Shuckworm, UAC-0010, Aqua Blizzard) и хакерите зад Raspberry Robin.

„В продължение на доста години не чувахме за USB устройства – всичко беше кибератаки през интернет“, казва Хоровиц пред Dark Reading. „Но обикновено при  заплахите има мода – една атака е успешна, така че други ще я копират. Мисля, че точно това започваме да виждаме при USB устройствата, като отново се появява този вектор на атака.“

Възраждаща се заплаха от USB устройствата

Колко често ви се е случвало да отворите вратата си, да видите пакет от Amazon на килимчето за посрещане и да забравите какво всъщност сте поръчали преди два дни?

„Наскоро работихме с енергийна компания, където един от служителите получи кутия на Amazon с лента на Amazon“, спомня си Даниел Уайли, ръководител на отдела за управление на заплахи в Check Point, по време на пресконференция в сряда. „Вътре имаше запечатана флашка  USB SanDisk – напълно нова. Той мислеше, че я е поръчала жена му. Така че той я отворил, включил…. Всичко останало беше верижна реакция. Престъпникът успя да проникне през тяхната VPN мрежа. Да кажем, че енергийната компания не е била на добро място“.

Това, че става дума за служител на енергийната компания, не е случайно – критичната индустрия често разделя ИТ и ОТ мрежите с въздушни пролуки или еднопосочни шлюзове, през които интернет базираните атаки не могат да преминат. USB устройствата осигуряват мост над тази пропаст, както демонстрира известният Stuxnet преди повече от десетилетие.

USB атаките могат да бъдат полезни и без това ограничение на въздушната междина. Помислете за служител на болница в Обединеното кралство, който неотдавна е посетил конференция в Азия. По време на конференцията той споделил презентацията си с други участници чрез флашка. За съжаление един от колегите му е бил заразен със зловреден софтуер Camaro Dragon, който служителят на болницата прихванал и занесъл със себе си в Обединеното кралство, заразявайки цялата корпоративна мрежа на болницата.

Както припомни Хоровиц в своята презентация, зловредният софтуер е отворил задна врата в новозаразените машини, но също така е действал като червей, предавайки се на всички нови устройства, които са в контакт с него чрез USB. Това му е позволило да се разпространи извън Западна Европа в страни като Индия, Мианмар, Русия и Южна Корея.

Raspberry Robin се разпространява по същия начин, като дава възможност на участниците в ransomware операции да работят по целия свят. А USB устройствата на Gamaredon пренесоха неговия червей LitterDrifter в толкова различни страни като Чили, Германия, Полша, Южна Корея, Украйна, САЩ и Виетнам.

Какво да правим с тези досадни USB устройства

Има прости стъпки, които организациите могат да предприемат, за да се предпазят от повечето заплахи, свързани с USB, като например винаги да разделят личните и служебните устройства и да се отнасят с повишено внимание към последните.

„Някои организации сканират само файловете, които са изтеглени от интернет“, казва Хоровиц. „Това е погрешно, защото или участниците в заплахи, или служителите, които искат да причинят щети, могат да донесат собствено USB устройство, за да заобиколят тази защита, запазена за файловете, които са изтеглени от интернет.“

Индустриите от критичната инфраструктура трябва да направят още една крачка напред: санитарни станции, строги политики за сменяеми устройства и лента върху USB порта могат да свършат работа в краен случай.

За организациите, които не искат – или не могат да си позволят – да се откажат от сменяемите носители, „Bring Your Own Device (BYOD) е ОК, можете да го направите, но това означава, че се нуждаете от повече нива на сигурност“, казва Хоровиц пред Dark Reading.

И най-важното от всичко: „Проверявайте поръчките си в Amazon, преди да ги отворите“, заканва се Уайли.

Източник: DARKReading

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
Бъдете социални
Още по темата
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
17/04/2024

Последни тенденции при злов...

В днешната дигитална ера киберсигурността се...
12/04/2024

Oracle увеличава усилията с...

Техническият директор и председател на Oracle...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!