Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/11/2014
Grup ataca sistemàticament PCs aïllats d'Internet utilitzant dispositius USB
La ferramenta Win32/USBStealer imita un programa rus legítim denomenat USB Disk Security per a monitoritzar la inserció d’unitats externes extraïbles i així infectar el PC.
Els investigadors d’ESET han descobert noves activitats del grup de ciberespionatge Sednit, que ha estat principalment dedicat a activitats d’atac a diverses institucions de l’Est d’Europa.
ESET informa que Sednit ataca PC no connectats a Internet utilitzant Win32/USBStealer, ferramenta que permet dur a terme este tipus d’activitats utilitzant dispositius USB.
La ferramenta Win32/USBStealer estava duent a terme atacs físics a ordinadors aïllats per a aconseguir l’accés a arxius específics. D’acord amb els investigadors d’ESET, Sednit ha estat utilitzant esta ferramenta en els últims deu anys amb diversos nivells diferents de complexitat.
En este cas, la infecció es distribuïx des d’un PC inicial amb connexió a Internet (PC “A”) a un altre ordinador objectiu (PC “B”) utilitzant el port USB. “El PC A s’infecta inicialment amb la ferramenta Win32/USBStealer i intenta imitar un programa rus legítim denominat USB Disk Security per a monitoritzar la inserció d’unitats externes extraïbles“, explica Joan Calvet, investigador d’ESET.
Quan un dispositiu USB s’inserix, el programa desxifra dos dels seus recursos en memòria. El primer deposita el programa Win32/USBStealer en la unitat extraïble amb el nom“usbguard.exe”. El segon recurs és un arxiu AUTORUN.INF que, després d’haver infectat el dispositiu USB, permet que en inserir este en la computadora objectiu, s’autoexecute i accedisca, d’esta manera, a fitxers específics que estaven aïllats de la xarxa. “Els noms dels fitxers que busquen en el procés d’extracció automàtica indica que tenen un coneixement molt precís dels seus objectius“, afig Joan Calvet.
En els últims mesos, el grup de ciberespionatge Sednit ha sigut responsable de diversos actes de ciberespionatge. El passat mes, ESET va descobrir que el grup estava duent a terme l’explotació de forats de seguretat utilitzant un kit personalitzat, i només tres setmanes abans tant Trend Micro com Fire Eye van publicar sengles reports sobre la creixent activitat d’este grup en la regió de l’Est d’Europa, que van anomenar Operation Pawn Storm i APT28, respectivament.
Més informació sobre esta i altres amenaces en el Blog de Laboratori d’ESET Espanya.