Af Eskil Sørensen, 08/03/24
Trusselsaktører er begyndt at vende tilbage til USB-sticks som angrebsvektor.
Det skriver Dark Reading i dag på baggrund af et oplæg på CPX-konferencen i Las Vegas i denne uge. Det var en repræsentant for sikkerhedsvirksomheden Check Point, der pointerede, at USB’ere er nu igen er en primær angrebsvektor for mindst tre forskellige store trusselsgrupper i 2023: Kinas Camaro Dragon (alias Mustang Panda, Bronze president, Earth Preta, Luminous Moth, Red Delta og Stately Taurus), Ruslands Gamaredon (alias Primitive Bear, UNC530, ACTINIUM, Shuckworm, UAC-0010 og Aqua Blizzard) og trusselsaktørerne bag Raspberry Robin.
Som eksempel på dette blev det nævnt, at en medarbejder i et elselskab havde modtaget en pakke fra Amazon, som han troede var bestilt af hans hustru. Der er var tale om en forseglet SanDisk USB, som han åbnede og tilsluttede. Det gjorde, at den kunne bryde ind på tværs af deres VPN.
Et andet eksempel var en medarbejder på et britisk hospital, der ifm. konference i Asien havde delt sin præsentation med andre deltagere via et USB-drev. Desværre var en af hans kollegers enhed inficeret med malware, hvilket medarbejderen fik med hjem på USB'en. Dette medførte, at hele hospitalets virksomhedsnetværk blev inficeret.
Men ikke kun det. Malwaren åbnede ikke kun en bagdør til nyligt inficerede maskiner, men fungerede også som en orm, der blev overført til alle nye enheder, der var kontakt til via USB. Dermed blev malwaren som en anden pandemi spredt ud over Vesteuropa og til lande som Indien, Myanmar, Rusland og Sydkorea, fremgår det. Også Raspberry Robin og Gamaredons USB'er skal angiveligt have været spredt sig på tilsvarende måde til lande som Chile, Tyskland, Polen, Sydkorea, Ukraine, USA og Vietnam.
USB’er har altid været en angrebsvektor, men der med baggrund i erfaringerne fra Checkpoint igen behov for at gøre opmærksom på risikoen ved brug af USB-sticks.
Links:
https://www.darkreading.com/ics-ot-security/weirdest-trend-cybersecurity-nation-states-usb