'Xu hướng kỳ lạ nhất trong an ninh mạng': Các quốc gia quay trở lại sử dụng USB

Các nhóm đe dọa mạng cấp quốc gia một lần nữa chuyển sang sử dụng USB để xâm phạm các tổ chức chính phủ được bảo vệ nghiêm ngặt và các cơ sở hạ tầng quan trọng.

Tuy đã lỗi thời một thời gian và chắc chắn không được hỗ trợ bởi lệnh COVID lockdown, USB một lần nữa cho thấy là một cách hiệu quả để các tác nhân đe dọa cấp cao vượt qua an ninh vật lý tại các tổ chức đặc biệt nhạy cảm.

Trong bài thuyết trình quan trọng tuần trước tại CPX 2024 ở Las Vegas, Maya Horowitz, phó chủ tịch nghiên cứu tại Check Point, đã lưu ý rằng USB là vật trung gian lây nhiễm chính cho ít nhất ba nhóm mối đe dọa lớn khác nhau vào năm 2023: Camaro Dragon của Trung Quốc (còn gọi là Mustang Panda) , Bronze President, Earth Preta, Luminous Moth, Red Delta, Stately Taurus); Gamaredon của Nga (hay còn gọi là Primitive Bear, UNC530, ACTINIUM, Shuckworm, UAC-0010, Aqua Blizzard) và các tác nhân đe dọa đằng sau Raspberry Robin.

Horowitz nói với Dark Reading: “Trong một vài năm, chúng tôi không thực sự nghe nói về USB - tất cả đều là các cuộc tấn công mạng qua Internet”. “Nhưng thường có những kiểu tấn công dành cho các tác nhân đe dọa – một cuộc tấn công thành công, vì vậy những cuộc tấn công khác sẽ sao chép nó. Tôi nghĩ rằng đây là những gì chúng ta bắt đầu thấy với ổ USB, tái hiện lại vectơ tấn công này.”

Mối đe dọa tái xuất hiện của USB

Bạn có thường xuyên mở cửa và nhìn thấy gói hàng Amazon trên tấm thảm cửa nhà mình và quên mất những gì bạn thực sự đã đặt hàng hai ngày trước không?

Daniel Wiley, người đứng đầu bộ phận quản lý mối đe dọa của Check Point, nhớ lại tại cuộc họp báo hôm thứ Tư, ngày 6 tháng 3: “Gần đây, chúng tôi đã làm việc với một công ty điện lực, nơi mà một trong những nhân viên đã nhận được một hộp Amazon có kèm theo băng Amazon. "Bên trong có một chiếc USB SanDisk được niêm phong — hoàn toàn mới. Anh ấy nghĩ vợ mình đã đặt mua nó. Thế là anh ấy mở nó ra và cắm vào. Mọi thứ khác đều là phản ứng dây chuyền. Nó có thể đột nhập vào VPN của họ." công ty điện lực đang ở tình trạng không tốt."

Việc đó là một nhân viên của công ty điện lực không phải ngẫu nhiên - ngành quan trọng thường tách biệt mạng CNTT và OT bằng các khoảng trống hoặc cổng một chiều, qua đó các cuộc tấn công dựa trên Internet không thể di chuyển được. USB cung cấp một cầu nối để vượt qua khoảng cách đó, như Stuxnet đã chứng minh một cách nổi tiếng hơn một thập kỷ trước.

Các cuộc tấn công bằng USB cũng có thể hữu ích mà không có hạn chế về khoảng cách không gian. Hãy xem xét một nhân viên của một bệnh viện ở Anh, cách đây không lâu đã tham dự một hội nghị ở châu Á. Trong hội nghị, anh đã chia sẻ bài thuyết trình của mình với những người tham dự thông qua ổ USB. Thật không may, một trong những đồng nghiệp của anh đã bị nhiễm phần mềm độc hại Camaro Dragon, nhân viên bệnh viện sau đó đã bắt được và mang về Anh, lây nhiễm sang toàn bộ mạng công ty của bệnh viện.

Horowitz nhớ lại trong bài phát biểu của mình, phần mềm độc hại đã mở ra một backdoor vào các máy mới bị nhiễm nhưng nó hoạt động như một con sâu, truyền tới bất kỳ thiết bị mới nào tiếp xúc qua USB. Điều này cho phép nó lan rộng ra ngoài Tây Âu sang các nước như Ấn Độ, Myanmar, Nga và Hàn Quốc.

Raspberry Robin đã lan truyền theo cách tương tự, tạo điều kiện cho những kẻ tấn công ransomware trên toàn thế giới. Và USB của Gamaredon đã đưa sâu LitterDrifter của mình đến nhiều quốc gia như Chile, Đức, Ba Lan, Hàn Quốc, Ukraine, Mỹ và Việt Nam.

Phải làm gì với những chiếc USB phiền phức này

Có những bước đơn giản mà các tổ chức có thể thực hiện để bảo vệ khỏi hầu hết các mối đe dọa liên quan đến USB, chẳng hạn như luôn tách biệt các thiết bị cá nhân và thiết bị làm việc, đồng thời xử lý chúng một cách cẩn thận hơn.

Horowitz nói: “Một số tổ chức chỉ quét các tệp được tải xuống từ Internet. “Điều đó là sai, bởi vì kẻ đe dọa hoặc nhân viên muốn gây thiệt hại có thể mang theo ổ USB của riêng họ để vượt qua lớp bảo mật được lưu cho các tệp được tải xuống từ Internet.”

Các ngành cơ sở hạ tầng quan trọng cần phải tiến thêm một bước nữa: trạm vệ sinh, chính sách nghiêm ngặt về thiết bị di động và băng qua cổng USB có thể thực hiện thủ thuật này trong tình huống khó khăn.

Đối với các tổ chức không muốn — hoặc không đủ khả năng — từ bỏ phương tiện di động, "Mang theo thiết bị của riêng bạn (BYOD) cũng được, bạn có thể làm điều đó, nhưng điều đó có nghĩa là bạn cần nhiều lớp bảo mật hơn", Horowitz nói với Dark Reading.

Và quan trọng nhất: “Hãy kiểm tra đơn hàng của bạn trên Amazon trước khi mở chúng”, Wiley cho lời khuyên.

Nguồn: darkreading.com