Pamięć USB w roli cyberszpiega

26 marca 2016, 11:02

Kradzież danych z komputera przez wirusa, który przenosi się wyłącznie za pośrednictwem urządzeń USB, to dość nietypowa metoda działania. Jej twórca jednak bardzo dokładnie przemyślał cały proces ataku – szkodnik nie pozostawia śladów na zaatakowanym komputerze, nie pozwala zidentyfikować skradzionych dokumentów, a wykrycie jego działania jest bardzo trudne. Słowem idealne rozwiązanie dla służb specjalnych.

Takie nietypowe zagrożenie wykryli eksperci z firmy Eset. Jego działanie może sugerować, że powstało ono na specjalne zamówienie, aby umożliwić atak na określone instytucje, spółki bądź osoby. Wirus przenosi się wyłącznie za pośrednictwem urządzeń USB, a jego jedynym celem jest kradzież danych z komputerów, do których podłączony zostanie nośnik. Zagrożenie działa jak profesjonalny szpieg – nie pozostawia śladów na zaatakowanym komputerze, nie pozwala zidentyfikować, jakie dokumenty zostały wykradzione, a wykrycie jego działania jest bardzo trudne.

Nowe zagrożenie, które programy antywirusowe Eset wykrywają jako Win32/PSW.Stealer.NAI, rozprzestrzenia się wyłącznie za pomocą dysków USB. Wirus ukrywa się jako złośliwy komponent jednej z trzech aplikacji w wersji przenośnej (tzw. portable) - Firefox, NotePad++ lub TrueCrypt. Jeśli użytkownik komputera wetknie pendrive ze wspomnianym zagrożeniem do portu USB, a następnie uruchomi aplikację, Win32/PSW.Stealer.NAI rozpocznie swoje działanie. Zagrożenie działa bezpośrednio z poziomu urządzenia USB, nie infekując dysku twardego atakowanej maszyny. Bez wiedzy użytkownika wirus kradnie wybrane dane z zaatakowanego urządzenia. Skradzione pliki zapisuje w pamięci USB, która rozpoczęła atak.

To, co sprawia, że zagrożenie jest niezwykłe, to fakt, że jego twórca bardzo dokładnie przemyślał cały proces ataku. Celem wirusa jest kradzież danych z wybranych komputerów. Z kolei sposób ataku, ograniczony wyłącznie do nośników USB ze spreparowaną zawartością, sugeruje, że atakowane mają być maszyny odizolowane od Internetu, a więc często niezabezpieczone programem antywirusowym. Jeśli takie komputery posiadają zabezpieczenie, to z uwagi na brak połączenia z Internetem baza sygnatur wirusów może być nieaktualna. Niektóre komponenty wirusa znajdującego się na dysku USB są szyfrowane i w ten sposób dodatkowo zabezpieczone przed możliwością pełnej analizy działania zagrożenia. Złośliwy plik jest aktualnie niewykrywany przez większość antywirusów i nie pozostawia żadnych trwałych śladów na zainfekowanym komputerze. Nie sposób także określić jakie dane zostały wykradzione przez wirusa w wyniku ataku.

- Biorąc pod uwagę fakt, że zagrożenie rozprzestrzenia się wyłącznie za pomocą pamięci USB i posiada mechanizmy zabezpieczające przed wyciekiem z zainfekowanego sprzętu, można przypuszczać, że zostało zaprojektowane w celu przeprowadzania ataków nakierowanych na systemy odcięte od Internetu – mówi Kamil Sadkowski, analityk zagrożeń z firmy Eset.

Podkreśla on, że ochrona przed tego typu zagrożeniami jest wyjątkowo trudna. W wypadku sieci firmowej zalecane jest, by administratorzy ograniczali użytkownikom dostęp do portów USB, np. z poziomu aplikacji antywirusowej. Przyda się również zdrowy rozsądek, czyli traktowanie z rezerwą nośników pochodzących z nieznanych źródeł lub znalezionych przypadkowo.

W ub.r. firma Kingston Technologies alarmowała, że w polskich urzędach i spółkach brakuje odpowiedniej polityki użytkowania pamięci USB i rzadko stosuje się tam szyfrowane urządzenia. Na jej zlecenie Ponemon Institute przeprowadził badanie, w którym wzięły udział 373 osoby z działów IT polskich firm ze średnio 9-letnim stażem w branży. Wykazało ono, że w naszych krajowych firmach zaledwie 39 proc. nośników USB można uznać za bezpieczne. A jedynie 32 proc. respondentów przyznało, że w ich firmach przestrzega się polityki bezpieczeństwa dotyczącej użytkowania nośników USB. Często nośniki te zawierają wrażliwe z biznesowego punktu widzenia informacje, których utrata oznacza problem dla dalszego funkcjonowania przedsiębiorstwa. Rocznie rodzime firmy gubią średnio 66 492 dokumenty przechowywane na USB. Wynika to z zaniedbań, kradzieży, szkodliwego działania zewnętrznego czy oszustw.

W praktyce pracownicy często wynoszą dokumenty służbowe na prywatnych pamięciach lub wnoszą do firmowej sieci własne dokumenty (np. zdjęcia) nie sprawdzając uprzednio, czy ich nośniki nie są zainfekowane. Tym samym narażają całą sieć firmową na potencjalnie katastrofalne w skutkach zarażenie sieci wirusem lub innym złośliwym oprogramowaniem.

Przypomina to do złudzenia proceder,  o którym mówił pod koniec ub.r. były szef ABW i Narodowego Centrum Kryptologii gen. bryg. Krzysztof Bondaryk. Ujawnił on, że niejawna sieć poczty MIL-WAN, należąca do Ministerstwa Obrony Narodowej, została zainfekowana groźnymi wirusami komputerowymi w wyniku niefrasobliwości jej użytkowników. Nagminnie łamali oni procedury bezpieczeństwa podłączając do służbowych komputerów, połączonych z siecią MIL-WAN, nośniki pamięci, które były wcześniej wpinane do prywatnych urządzeń.

CyberDefence24
CyberDefence24
Tweets CyberDefence24