Camaro Dragon USB terjesztés
2023 elején a Check Point Incident Response Team (CPIRT) csapata egy európai egészségügyi intézményben történt kártevő-incidenst vizsgált, amely Camaro Dragonnak, egy kínai hátterű kémkedésnek tulajdonítottak. A fenyegetés szereplője, akinek tevékenysége átfedésben van a különböző kutatók, például Mustang Panda és LuminousMoth tevékenységeivel, akik elsősorban a délkelet-ázsiai országokra és közeli társaikra összpontosítanak.
A kártevő egy fertőzött USB-meghajtón keresztül jutott el az egészségügyi intézmények rendszereihez. A vizsgálat során a Check Point Research (CPR) csapata felfedezte a kártevő újabb verzióit, amelyek hasonló képességekkel rendelkeznek az USB-meghajtókon keresztüli önszaporodásra. Ily módon a Délkelet-Ázsiából származó rosszindulatú kódok ellenőrizhetetlenül terjednek a világ különböző hálózataira, még akkor is, ha ezek a hálózatok a fenyegetés szereplőinek nem is célpontjai.
A fő eszköz, a WispRider jelentős fejlesztéseken ment át. A backdoor képességein és a HopperTick indító segítségével USB-n keresztüli terjedési képességen kívül a hasznos teher további funkciókat is tartalmaz, például a SmadAV bypass-át, amely egy Délkelet-Ázsiában népszerű víruskereső megoldás. A rosszindulatú program DLL-oldali betöltést is végez a biztonsági szoftverek, például a G-DATA Total Security és két nagy játékvállalat (Electronic Arts és Riot Games) összetevőinek felhasználásával. A Check Point Research felelősségteljesen értesítette ezeket a cégeket szoftvereik támadók általi fent említett használatáról.
A jelentés megállapításai, valamint más iparági jelentések (Mandiant) bizonyítékai megerősítik, hogy a kínai fenyegetés szereplői, köztük a Camaro Dragon, továbbra is hatékonyan használják az USB-eszközöket fertőzési vektorként.
Az USB-kártevőket használó támadások elterjedtsége és jellege azt mutatja, hogy az ilyen típusú kártevőkkel szemben még olyan szervezetek esetében is védekezni kell, amelyek nem lehetnek az ilyen kampányok közvetlen célpontjai. Legalább a következő országokban találtunk bizonyítékot az USB rosszindulatú programokkal való fertőzésére: Mianmar, Dél-Korea, Nagy-Britannia, India és Oroszország.
A Check Point megosztotta az azonosításhoz szükséges mutatókat.
