Quasi tutti gli attacchi informatici vengono effettuati da remoto. In alcuni paesi, principalmente quelli emergenti, sono state colpite diverse organizzazioni usando drive USB infetti. I ricercatori di Mandiant hanno illustrato la tecnica usata dai cybercriminali cinesi del gruppo UNC53 per distribuire il malware Sogu.
Sogu: intrusione con drive USB
Gli esperti di Mandiant hanno rilevato l’uso di questa “vecchia” tecnica contro almeno 29 aziende, la maggioranza delle quali si trova in Africa (Egitto, Zimbabwe, Tanzania, Kenya, Ghana e Madagascar). I dipendenti hanno collegato ai computer una pen drive USB usata anche in print shop o Internet cafè, innescando la diffusione del malware.
Quest’ultimo è Sogu (noto anche come Korplug o PlugX), uno spyware sfruttato in altre campagne di cyberspionaggio. Mandiant ha recentemente individuato una nuova versione del malware.
Secondo i ricercatori di sicurezza, Sogu è stato copiato sulla pen drive USB quando i dipendenti hanno collegato il drive ai computer pubblici con accesso ad Internet. Non è chiaro però dove è avvenuta l’infezione. Sembra però chiara l’intenzione di colpire le aziende africane, in quanto la Cina ha diversi interessi economici e strategici nel continente.
Sogu non viene eseguito automaticamente all’inserimento del drive. Il file eseguibile sull’unità ha lo stesso nome del drive stesso, quindi l’utente viene ingannato. Il malware viene copiato in una directory nascosta e inizia a raccogliere i dati dal computer. Se non è presente la connessione ad Internet, i dati sono copiati in una directory sull’unità e inviati al server remoto quando l’ignaro dipendente collega la pen drive ad un computer con accesso ad Internet.