Per gran parte del settore della sicurezza informatica, il malware diffuso tramite unità USB rappresenta la caratteristica minaccia hacker dell’ultimo decennio, o di quello precedente. Ma un gruppo di spie appoggiate dalla Cina sembra aver capito che le organizzazioni globali con personale nei paesi in via di sviluppo mantengono ancora un piede nel passato tecnologico, dove le chiavette USB vengono passate come biglietti da visita e gli internet café sono tutt’altro che estinti. Nell’ultimo anno, quegli hacker focalizzati sullo spionaggio hanno sfruttato questa distorsione temporale geografica per riportare malware USB retrò nelle reti di dozzine di vittime.
Alla conferenza sulla sicurezza di mWise di oggi, i ricercatori della società di sicurezza informatica Mandiant hanno rivelato che un gruppo di hacker collegato alla Cina che chiamano UNC53 è riuscito a hackerare almeno 29 organizzazioni in tutto il mondo dall’inizio dello scorso anno utilizzando l’approccio vecchio stile del tricking. il loro personale a collegare unità USB infette da malware nei computer delle loro reti. Sebbene queste vittime si estendano negli Stati Uniti, in Europa e in Asia, Mandiant afferma che molte delle infezioni sembrano provenire dalle operazioni con sede in Africa delle organizzazioni multinazionali, in paesi tra cui Egitto, Zimbabwe, Tanzania, Kenya, Ghana e Madagascar. In alcuni casi, il malware – in realtà diverse varianti di un ceppo vecchio di più di dieci anni noto come Sogu – sembra aver viaggiato tramite chiavetta USB da computer condivisi in tipografie e internet café, infettando indiscriminatamente i computer in una diffusa rete di dati.
I ricercatori di Mandiant affermano che la campagna rappresenta una rinascita sorprendentemente efficace dell’hacking basato su pen drive che è stato in gran parte sostituito da tecniche più moderne, come il phishing e lo sfruttamento remoto delle vulnerabilità del software. “Le infezioni USB sono tornate”, afferma il ricercatore di Mandiant Brendan McKeague. “Nell’odierna economia distribuita a livello globale, un’organizzazione può avere sede in Europa, ma ha lavoratori remoti in regioni del mondo come l’Africa. In molti casi, luoghi come il Ghana o lo Zimbabwe sono stati il punto di infezione di queste intrusioni basate su USB”.
Il malware trovato da Mandiant, noto come Sogu o talvolta Korplug o PlugX, è stato utilizzato in forme non USB da un’ampia gamma di gruppi di hacker, in gran parte con sede in Cina, per oltre un decennio. Il trojan ad accesso remoto è apparso, ad esempio, nella famigerata violazione da parte della Cina dell’Office of Personnel Management degli Stati Uniti nel 2015, e la Cybersecurity and Infrastructure Security Agency ha avvertito che sarebbe stato nuovamente utilizzato in un’ampia campagna di spionaggio nel 2017. Ma nel gennaio del 2017 Nel 2022, Mandiant ha iniziato a vedere nuove versioni del trojan comparire ripetutamente nelle indagini sulla risposta agli incidenti e ogni volta ha rintracciato tali violazioni su chiavette USB infette da Sogu.
Da allora, Mandiant ha osservato la campagna di hacking USB intensificarsi e infettare nuove vittime fino a questo mese, estendendosi a settori di consulenza, marketing, ingegneria, edilizia, estrazione mineraria, istruzione, banche e prodotti farmaceutici, nonché agenzie governative. Mandiant ha scoperto che in molti casi l’infezione era stata rilevata da un computer condiviso in un internet café o in una tipografia, diffondendosi da macchine come un terminale di accesso a Internet accessibile al pubblico presso l’aeroporto Robert Mugabe di Harare, nello Zimbabwe. “Questo sarebbe un caso interessante se il punto di infezione previsto dall’UNC53 fosse un luogo in cui le persone viaggiano a livello regionale in tutta l’Africa o addirittura diffondono l’infezione a livello internazionale al di fuori dell’Africa”, afferma Ray Leong, ricercatore di Mandiant.
Leong sottolinea che Mandiant non è riuscita a determinare se tale luogo fosse un punto di infezione intenzionale o “solo un’altra tappa lungo il percorso poiché questa campagna si stava propagando in una particolare regione”. Inoltre, non era del tutto chiaro se gli hacker cercassero di sfruttare il loro accesso alle operazioni di una multinazionale in Africa per prendere di mira le attività europee o statunitensi della società. Almeno in alcuni casi, sembrava che le spie fossero concentrate sulle stesse operazioni africane, dato l’interesse strategico ed economico della Cina nel continente.
![I video YouTube più visti di tutti i tempi [Infographic]](https://www.blogsocialmedia.es/it/wp-content/uploads/2023/09/I-video-YouTube-piu-visti-di-tutti-i-tempi-Infographic.jpg)
