Un nuovo gruppo di hacker, conosciuto come TetrisPhantom, sta utilizzando unità USB compromesse per colpire entità governative.
L’azione ha preso di mira prevalentemente stati del Sud-Est asiatico e della Cina, ma non è detto che le azioni del collettivo possano spostarsi anche in occidente.
Le unità USB sicure sfruttano tecnologie come la crittografia per proteggere i dati contenuti e, almeno fino a questa ondata di attacchi, erano un ottimo canale per trasferire dati in modo sicuro.
Proprio uno dei software adibiti alla gestione della crittografia, appositamente manipolato, è diventato una potente arma nelle mani di TetrisPhantom. Stiamo parlando del file UTetri.exe, le cui versioni modificate e rese dei veri e propri trojan, vanno in realtà a rubare file dai dispositivi che dovrebbero proteggerli.
TetrisPhantom: come si comportano gli hacker e qual è il loro fine?
A scoprire quanto accaduto è stata l’azienda Kaspersky, nota produttrice di antivirus. Nello specifico, gli esperti hanno chiarito come “L’attacco comprende strumenti e tecniche sofisticati, tra cui l’offuscamento software basato sulla virtualizzazione per componenti malware, comunicazione di basso livello con l’unità USB utilizzando comandi SCSI diretti, auto-replicazione tramite unità USB sicure connesse per propagarsi ad altri sistemi con air gap e iniezione di codice in un programma legittimo di gestione degli accessi sull’unità USB che funge da caricatore per il malware su una nuova macchina“.
Kaspersky ha condiviso ulteriori dettagli con BleepingComputer, spiegando che l’attacco con l’app Utetris con trojan inizia con l’esecuzione sul computer di destinazione di un payload chiamato AcroShell.
AcroShell stabilisce una linea di comunicazione con il server di comando e controllo (C2) dell’aggressore e può recuperare ed eseguire ulteriori agenti malevoli, utili per rubare documenti e file sensibili dalle unità USB utilizzate dal bersaglio.
Kaspersky ha recuperato e analizzato due varianti dannose dell’eseguibile di Utetris, una utilizzata tra settembre e ottobre 2022 (versione 1.0) e un’altra distribuita nelle reti governative da ottobre 2022 fino ad ora (versione 2.0).
I ricercatori affermano che questi attacchi sono in corso da almeno alcuni anni e lo spionaggio è l’unico obiettivo di tali operazioni, con poche operazioni attuate ma su vittime precise.