Urządzenia USB przyczyną cyberataku na szpitale

27 czerwca, 2023

Jak informuje Check Point, nowa wersja chińskiego oprogramowania szpiegowskiego zainfekowała sieć jednego ze szpitali za sprawą dysku USB. Za infekcją stoi najprawdopodobniej chińska grupa hakerska Camaro Dragon, ta sama, która niedawno przeprowadziła głośny atak na routery TP Link.

Jak doszło do infekcji?

Po powrocie z azjatyckiej konferencji jeden z pracowników szpitala użył pamięć USB na jednym ze służbowych komputerów, co doprowadziło do rozprzestrzenienia się infekcji na całą sieć szpitala.

Złośliwe oprogramowanie jest częścią zestawu narzędzi o nazwie „SSE”, który został opisany pod koniec 2022 r.

Konsekwencje pomyślnej infekcji są dwojakie: złośliwe oprogramowanie nie tylko tworzy backdoora na zaatakowanej maszynie, ale także rozprzestrzenia się na nowo podłączone dyski wymienne — ostrzegają eksperci.

Camaro Dragon USB
Schemat infekcji nazwanej Camaro Dragon USB.

Główny wariant ładunku, nazwany WispRider, posiadał funkcję backdoora oraz możliwości rozprzestrzeniania się przez USB za pomocą programu uruchamiającego HopperTick. Program zawiera również dodatkowe funkcje, takie jak np. obejście SmadAV, popularnego w Azji rozwiązania antywirusowego.

Szkodliwe oprogramowanie ładuje również biblioteki DLL przy użyciu komponentów oprogramowania zabezpieczającego, takiego jak G DATA Total Security (AVKkid.dll) oraz dwóch głównych firm zajmujących się grami (Electronic Arts i Riot Games). To bardzo podobna technika ataku użyta wcześniej z komponentami oprogramowania Zemana (zamguard64.sys, zam64.sys).

Bezpieczeństwo nośników USB

Według badań firmy Safetica Technologies około 87% organizacji zetknęło się z problemem wykorzystywania przez pracowników niezaszyfrowanych nośników zewnętrznych. Dzieje się tak zazwyczaj dlatego, że zwykli użytkownicy nie zdają sobie sprawy, jak łatwo urządzenia te mogą zostać zgubione lub skradzione.

Oto kilka zaleceń, które w znacznym stopniu zwiększą bezpieczeństwo:

  • Pendrive lub dysk USB, nawet ten od współpracownika lub dobrej koleżanki, może zawierać malware. Zawsze przed uruchomieniem nośnika danych przeskanuj go.
  • Jeżeli przypadkiem znalazłeś pendrive, to nie wpinaj go do swojego komputera.
  • Dbaj o aktualizację systemu i aplikacji, których używasz.
  • W sieci firmowej korzystaj z systemu kontroli dostępu, blokuj porty USB i zezwalaj na podłączanie wyłącznie konkretnych nośników danych (np. na podstawie numeru seryjnego).
  • W firmie korzystaj z rozwiązań chroniących przed wyciekiem danych tzw. DLP (Data Leak Prevention)
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]