Čínski a juhokórejskí hackeri sa nezastavia ani pred vzduchovou medzerou, keďže si útočníci si vyhliadli za cieľ vládne a vojenské inštitúcie. Skupina sa zamerala na na vojakov a terčom jej útokov sa stali fyzicky izolované siete taiwanskej a filipínskej armády či vojenské nemocnice.
Spoločnosť Trend Micro pred niekoľkými dňami informovala o špionážnych aktivitách čínskych hackerov. Skupina známa ako Tropic Trooper sa už od roku 2011 zameriava na vládny, zdravotnícky či dopravný sektor a od svojho vzniku využívala na získavanie potrebných informácií predovšetkým spear-phishing. V tomto prípade však útočníci museli vymyslieť iný spôsob, ako si poradiť s bezpečnostnými opatreniami vo vládnych a vojenských inštitúciách. Na prekonanie „vzduchovej medzery“ preto použili USB červa, ktorým zaútočili najprv na pridružené organizácie, ako práve vojenské nemocnice. Tie použili ako prostredníka, ktorý do izolovanej siete vniesol malvér na USB kľúči.
Červ s názvom USBferry dokáže preniesť do zariadenia v izolovanom prostredí ďalší škodlivý softvér, ktorý na ňom následne vykonáva rôzne príkazy. Okrem toho zhromažďuje informácie a kopíruje ich na kľúč. Čínski hackeri použili na maskovanie použitých nástrojov a vyhnutie sa antimalvérovej ochrane steganografiu. Svoje zadné vrátka ukrývali v obrázkoch JPG. Podľa Trend Micro skupina pátrala najmä po dokumentoch, ktoré sa vzťahovali k obrane, lodiarenskému priemyslu a oceánom.
Ďalší sa pripravuje
Podobný prípad škodlivého softvéru na prienik do systémov v izolovaných sieťach objavili výskumníci zo spoločnosti ESET. Nástroj pomenovali Ramsay a podľa nich je stále vo fázy vývoja. „Zdá sa, že vývojári zodpovední za vektor útoku skúšajú rôzne prístupy ako staré exploity pre zraniteľnosti vo Worde z roku 2017, rovnako ako nasadenie aplikácií infikovaných trójskym koňom. Podľa nás vývojári dopredu poznajú prostredie svojej obete a vektor útoku jej šijú na mieru tak, aby bol prienik do cieľových systémov úspešný bez potreby ďalších zbytočných zdrojov.“
Spolu s Ramseym našli aj zadné vrátka Retro, ktoré sa spájajú so špionážnymi útokmi známej juhokórejskej APT skupiny Darkhotel. Tá je aktívna minimálne od roku 2004 a jej cieľom sú prevažne vládne orgány v Číne a Japonsku.
Zdroj: Cybersec