Malware besmet usb-sticks voor het infecteren van air-gapped systemen

In dit artikel:

Onderzoekers van Zscaler hebben malware ontdekt die usb‑sticks gebruikt om zogenoemde air‑gapped systemen te besmetten. De campagne wordt toegeschreven aan APT37 (ook bekend als ScarCruft, Ruby Sleet of Velvet Chollima), een groep die volgens Zscaler wordt gelinkt aan Noord‑Korea en zich richt op cyberspionage.

De infectieketen start met een .LNK‑snelkoppeling die, eenmaal geopend, malware installeert op een computer. Die malware controleert aangekoppelde usb‑drives (alleen vanaf 2 GB) en maakt een verborgen map RECYCLE.BIN aan. Huidige bestanden op de stick worden verborgen en vervangen door .LNK‑bestanden met dezelfde namen; tegelijk wordt de malware zelf naar de stick gekopieerd. Wanneer zo’n besmette usb‑stick op een schoon systeem wordt gebruikt en een malafide .LNK wordt geopend, raakt dat systeem ook geïnfecteerd.

Op een nieuw geïnfecteerd systeem verzamelt de malware vervolgens bestanden en plaatst die in de verborgen RECYCLE.BIN‑map op de stick. Zodra die stick weer wordt aangesloten op een eerder geïnfecteerd apparaat met internettoegang, leest de malware de verzamelde data uit en stuurt die naar servers van de aanvallers. Windows‑gebruikers die bestanden in detailweergave bekijken, kunnen zien dat sommige ogenschijnlijke documenten eigenlijk snelkoppelingen zijn.

De vondst illustreert hoe air‑gapping niet onfeilbaar is: naast klassieke voorbeelden zoals Stuxnet bestaan er talloze technieken om data van offline systemen te lekken (van geluid en warmte tot leds en radiogolven). Voor organisaties met gevoelige offline systemen is waakzaamheid rondom usb‑gebruik en aandacht voor detectie van gemanipuleerde snelkoppelingen cruciaal om dit type aanval te beperken.