La mayoría de ciberataques a los que dedicamos noticias en Escudo Digital suelen producirse en remoto, sin ningún tipo de contacto físico por parte de los actores de amenazas con los dispositivos o equipos. Pero eso no significa que los incidentes de este tipo se hayan reducido.
De hecho, los ataques cibernéticos en los que se usan unidades de infección USB infectadas como vector de acceso inicial se habrían triplicado durante la primera mitad de 2023.
Así lo señala Mandiant, firma de análisis de amenazas propiedad de Google. Esta detalla dos campañas de este tipo, SOGU y SNOWYDRIVE, dirigidas a entidades del sector público y privado en todo el mundo.
SOGU sería "una de las campañas de espionaje cibernético basado en USB más frecuente que utiliza unidades flash USB y una de las campañas de espionaje cibernético más agresivas dirigidas a organizaciones del sector público y privado a nivel mundial en todos los verticales de la industria".
La actividad se ha vinculado con un grupo de piratas informáticos radicado en China y llamado TEMP.Hex, al que se conoce también con otros nombres como Mustang Panda, Camaro Dragon o Earth Preta. Sus objetivos suelen ser sectores como construcción e ingeniería, servicios comerciales, gobierno, salud, transporte y comercio minorista en Europa, Asia y EE. UU.
Todo comienza con la llave USB conectándose a una computadora, lo que lleva a la ejecución de PlugX. Luego descifra y lanza una puerta trasera basada en C llamada SOGU que extrae archivos de interés, pulsaciones de teclas y capturas de pantalla.
Una amenaza más focalizada
La segunda campaña identificada por Mandiant para la infiltración a través de USB sería responsabilidad del grupo UNC4698. Al infectar los equipos entregan el malware SNOWYDRIVE, para ejecutar cargas útiles arbitrarias en los sistemas pirateados. En este caso, el foco es bastante más concreto: el objetivo son organizaciones de petróleo y gas de Asia.
"Una vez que se carga SNOWYDRIVE, crea una puerta trasera en el sistema host, lo que brinda a los atacantes la capacidad de emitir comandos del sistema de forma remota", explican los investigadores de Mandiant Rommel Joven y Ng Choon Kiat. "También se propaga a otras unidades flash USB y por toda la red", añaden.
La puerta trasera tiene algunas funcionalidades que incluyen realizar búsquedas de archivo y directorios, cargar y descargar archivos y ejecutar un shell inverso.
"Las organizaciones deberían priorizar la implementación de restricciones en el acceso a dispositivos externos como unidades USB", defienden los investigadores. "Si esto no es posible, al menos deberían escanear estos dispositivos en busca de archivos o códigos maliciosos antes de conectarlos a sus redes internas".