Jak informuje Check Point, nowa wersja chińskiego systemu szpiegowskiego zainfekowała sieć jednego ze szpitali za sprawą dysku USB. Za infekcją stoi najprawdopodobniej chińska grupa hakerska Camaro Dragon, ta sama, która niedawno przeprowadziła głośny atak na routery TP Link.
Jak doszło do infekcji?
Po powrocie z azjatyckiej konferencji jeden z pracowników szpitala użył pamięć USB na jednym ze służbowych komputerów, co doprowadziło do rozprzestrzenienia się infekcji na całą sieć szpitala.
Złośliwe oprogramowanie jest częścią zestawu narzędzi o nazwie „SSE”, który został opisany pod koniec 2022 r.
Konsekwencje pomyślnej infekcji są dwojakie: złośliwe oprogramowanie nie tylko tworzy backdoora na zaatakowanej maszynie, ale także rozprzestrzenia się na nowo podłączone dyski wymienne — ostrzegają eksperci.
Schemat infekcji nazwanej Camaro Dragon USB.
Główny wariant ładunku, nazwany WispRider, posiadał funkcję backdoora oraz możliwości rozprzestrzeniania się przez USB dzięki programu uruchamiającego HopperTick. Program zawiera również dodatkowe funkcje, takie jak np. obejście SmadAV, popularnego w Azji rozwiązania antywirusowego.
Szkodliwe oprogramowanie ładuje również biblioteki DLL przy użyciu komponentów systemu zabezpieczającego, takiego jak G DATA Total Security (AVKkid.dll) oraz dwóch głównych firm zajmujących się grami (Electronic Arts i Riot Games). To bardzo podobna technika ataku użyta wcześniej z komponentami systemu Zemana (zamguard64.sys, zam64.sys).
Bezpieczeństwo nośników USB
Według badań firmy Safetica Technologies około 87% organizacji zetknęło się z problemem wykorzystywania przez pracowników niezaszyfrowanych nośników zewnętrznych. Dzieje się tak zwykle dlatego, iż zwykli użytkownicy nie zdają sobie sprawy, jak łatwo urządzenia te mogą zostać zgubione lub skradzione.
Oto kilka zaleceń, które w znacznym stopniu zwiększą bezpieczeństwo:
- Pendrive lub dysk USB, choćby ten od współpracownika lub dobrej koleżanki, może zawierać malware. Zawsze przed uruchomieniem nośnika danych przeskanuj go.
- Jeżeli przypadkiem znalazłeś pendrive, to nie wpinaj go do swojego komputera.
- Dbaj o aktualizację systemu i aplikacji, których używasz.
- W sieci firmowej korzystaj z systemu kontroli dostępu, blokuj porty USB i zezwalaj na podłączanie wyłącznie konkretnych nośników danych (np. na podstawie numeru seryjnego).
- W firmie korzystaj z rozwiązań chroniących przed wyciekiem danych tzw. DLP (Data Leak Prevention)
