En cybersikkerhedsleverandør, Check Point, opdagede for nylig en bekymrende hændelse, hvor malware forbundet med en kinesisk hackergruppe infiltrerede en sundhedsinstitution i Europa gennem et USB-drev.
Malwaren udviste en unik evne til at "udbrede sig selv" over USB-drev, så den kunne spredes fra en inficeret computer i Asien til Europa.
Check Points undersøgelse afslørede slående ligheder mellem dette malware-angreb og taktikken anvendt af den kinesiske spionagegruppe kendt som Mustang Panda. Infektionen blev sporet tilbage til et USB-drev tilhørende en ansat på det europæiske hospital. Det viser sig, at det samme USB-drev var blevet taget med til en konference i Asien tidligere.
Under konferencen delte medarbejderen en præsentation med andre deltagere ved hjælp af USB-drevet. Tragisk nok havde en af kollegerne en inficeret computer, og som følge heraf blev USB-drevet ubevidst inficeret. Da medarbejderen vendte tilbage til Europa, sluttede den ansatte USB-drevet til en hospitalscomputer, og spredte uforvarende malwaren til et andet kontinent.
Check Point spekulerer i, at den europæiske sundhedsinstitution kan have været et utilsigtet offer i betragtning af, at den kinesiske hackergruppe, Mustang Panda, historisk set primært var rettet mod lande i Sydøstasien.
Malwareangrebet brugte en vildledende taktik, idet man brugte en launcher skrevet i Delphi til at installere malware på USB-drevet. Det maskerede alle filerne på USB-drevet og viste et eksekverbart program med USB-drevets navn og en mappe mærket "Kaspersky", der efterligner udseendet af et legitimt sikkerhedsbeskyttelsesværktøj. Intetanende brugere, der klikkede på den eksekverbare, aktiverede malwaren, som derefter kopierede sig selv til computeren og afslørede de tidligere skjulte filer på USB-drevet.
Når malwaren var installeret på computeren, skabte den en bagdør, så den kunne modtage instruktioner fra en kommando-og-kontrol-server og indlæse andre ondsindede komponenter. Det havde også evnen til at inficere eventuelle fremtidige USB-drev forbundet til den samme computer, hvilket gjorde det muligt for den at udbrede sig selv.
Hændelsen tjener som en afgørende påmindelse til brugere om at udvise forsigtighed, når de bruger USB-drev. Mustang Panda USB-malwaren er blevet observeret inficere ofre ikke kun i Europa, men også i Rusland og Myanmar. For at beskytte mod sådanne angreb råder Check Point brugere til at undgå at bruge det samme USB-drev på tværs af flere netværk og pc'er og at være opmærksomme på det indhold, de interagerer med på USB-enheder. Derudover bør virksomheder sikre, at deres slutpunktsløsninger inkluderer USB-scanningsfunktioner. Ved at forblive på vagt og følge disse forholdsregler kan enkeltpersoner og organisationer bedre sikre sig mod potentielle USB-baserede cybertrusler.
Comments