I ricercatori di Kaspersky hanno scoperto un nuovo attacco informatico effettuato dal gruppo TetrisPhantom contro sistemi governativi in Asia. Tramite tool e tecniche sofisticati, i cybercriminali riescono ad accedere ai computer e rubare dati. L’intrusione nei sistemi “air-gapped” (non connessi ad Internet) avviene sfruttando drive USB cifrati.
Furto di dati con drive USB cifrati
Gli esperti di Kaspersky spiegano che molte organizzazioni governative usano particolari drive USB per conservare i dati e trasferirli da un computer all’altro. Questi drive hanno una partizione protetta dalla crittografia accessibile solo con un software presente nella partizione non cifrata e una passphrase.
Uno dei software è UTetris. Ignoti cybercriminali hanno istallato sui drive USB una versione infetta di UTetris (non è noto come) a scopo di spionaggio. Quando il drive viene collegato ad un computer connesso ad Internet, UTetris esegue un payload denominato AcroShell. Quest’ultimo si connette al server C2 (command and control) per inviare informazioni sul drive USB e scaricare altri payload che consentono di rubare documenti e file sensibili.
Il modulo XMKR viene invece sfruttato per copiare sul drive USB i dati rubati dai computer air-gapped. Secondo Kaspersky, gli attacchi sono in corso da diversi anni. I cybercriminali hanno usato tecniche di offuscamento basate sulla virtualizzazione per nascondere le tracce, comunicazioni a basso livello tramite comandi SCSI e iniezione di codice in programmi di gestione dell’accesso sul drive che funziona come loader dei malware.
I cybercriminali hanno scelto target specifici per effettuare gli attacchi più recenti con due versioni di UTetris: 1.0 tra settembre e ottobre 2022, 2.0 da ottobre 2022 ad oggi.