Nel contesto governativo sono diffuse unità USB, dotate di adeguate protezioni e sistemi di crittografia, per proteggere dati sensibili. A quanto pare, però, alcuni hacker stanno riuscendo ad attaccare questi supporti causando non pochi danni ai governi coinvolti.
Questa serie di attacchi ha visto come principali vittime le agenzie governative del Sud-est asiatico. Per natura di tali obiettivi, il numero di operazioni in tal senso è risultato ridotto, ma con danni ingenti. Si ritiene che gli attacchi siano stati condotti da hacker molto esperti e con molte risorse, interessati a condurre operazioni di spionaggio in reti governative sicure e private.
Secondo un rapporto di Kaspersky per il terzo trimestre del 2023, questa campagna di lunga durata comprende diversi moduli dannosi che possono eseguire comandi, raccogliere dati da workstation infette e trasferirli su ulteriori macchine utilizzando la stessa o diverse unità USB considerate come sicure.
Unità USB considerate a sicuro si rivelano a rischio: entità governative nel mirino
L’attacco utilizza strumenti e metodi sofisticati, come l’offuscamento software basato sulla virtualizzazione, l’auto-replicazione tramite unità USB sicure connesse per diffondersi ad altri sistemi con air gap e l’iniezione di codice in un programma legittimo di gestione degli accessi sull’unità USB che funge da loader per il malware su un nuovo computer.
Nonostante in passato tale collettivo sia stato implicato in altre regioni (come il Sud America), gli esperti hanno identificato come possibili responsabili gli hacker di BlindEagle. Questo infatti, nelle precedenti campagne, ha dimostrato un modus operandi simile, agendo sia nel contesto dello spionaggio che nel puro e semplice furto di dati finanziari.
Tale gruppo, in passato ha utilizzato Trojan di accesso remoto (RAT) di vario tipo (come AsyncRAT, Lime-RAT e BitRAT) nelle proprie operazioni. L’azione attraverso unità USB, però, sarebbe una novità, visto che in precedenza BlindEagle ha operato principalmente attraverso e-mail di spear-phishing.
Lo spionaggio informatico continua a essere una delle massime priorità delle campagne APT e, il contesto geopolitico attuale, offre terreno fertile per campagne di questo tipo.