USB Thief – malware atakujący systemy komputerowe „air gapped”

Informatycy z Eset odkryli nowego Trojana: USB Thief. Zaraża on napędy USB zawierające popularne aplikacje i w opinii informatyków został opracowany z myślą o atakowaniu systemów komputerów pracujących w izolowanych środowiskach „air-gapped”.

Komputer "air-gapped" to taki, który nie komunikuje się bezpośrednio ze światem zewnętrznym. Jest od niego oddzielony tzw. powietrzną śluzą . Jest to znana od dawna metoda obrony przed włamaniami polegająca na fizycznej separacji komputera (czy całej sieci) od Internetu . Oba te środowiska nie mogą się wtedy komunikować, gdyż nie łączy je żadne medium – ani kablowe (miedź czy światłowód) ani bezprzewodowe.

Malware USB Thief został stworzony z myślą o takich właśnie komputerach. Jego oprogramowanie składa się z trzech części, a konkretnie z trzech wykonywalnych programów, które pracują na zasadzie domina. Pierwszy, po wykonaniu swojego zadania aktywuje drugi, a drugi trzeci. W ten sposób, w końcowej fazie malware „dopina” do wybranej aplikacji (znajdującej się w pamięci USB) szkodliwy kod, który wykrada z komputera dane. Chodzi o komputer, do którego nieświadomy niebezpieczeństwa użytkownik podłączył napęd USB.

Zobacz również:

  • Co trzecia firma w Polsce z cyberincydentem
  • Bezpieczna miłość w sieci

Hakerzy zadbali o to, aby ukryć malware. I tak wchodzące w jego skład programy stosują zawansowane techniki szyfrownaia danych AES 128, dlatego programy wykrywające zagrożenia nie wszczynają alarmu i malware może bezkarnie zaatakować komputer i wykraść z niego dane, które przed zapisaniem w pamięci USB również są szyfrowane.

Po wyjęciu dysku USB z komputera żaden program nie jest w stanie stwierdzić, że ktoś wykradł a niego dane. Ponieważ skradzione informacje znajdują się w pamięci USB należy domniemać, że przeprowadzający taki atak haker zakłada, iż pamięć trafi w jego ręce. Znając klucz, który zaszyfrował dane, nie będzie mieć problemu z ich odczytaniem.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200