Badacze z firmy Kaspersky zdekonstruowali uaktualniony, bardziej wyrafinowany zestaw narzędzi wykorzystywany przez ugrupowanie cyberprzestępcze o nazwie Cycldek, które atakuje rządy w Azji Południowo-Wschodniej od co najmniej 2013 r. Zidentyfikowano, między innymi, nieznane wcześniej szkodliwe oprogramowanie – o nazwie USBCulprit – które potrafi przemieszczać się w sieci w celu zdobycia poszukiwanych danych.
Szkodnik nie tylko wzmacnia i tak już zaawansowany zestaw narzędzi tego ugrupowania, ale również pozwala cyberprzestępcom atakować fizycznie odizolowane urządzenia, które nie są bezpośrednio połączone z internetem.
Cycldek (znane również jako Goblin Panda, APT 27 oraz Conimes) to wykryte w 2013 r. cyberugrupowanie koncentrujące się głównie na celach w Azji Południowo-Wschodniej, wśród których znajdują się duże organizacje oraz podmioty rządowe. Badacze z firmy Kaspersky uważnie śledzili jego najnowszą aktywność cyberszpiegowską – która sięga 2018 r. – wymierzoną w organizacje rządowe w Wietnamie, Tajlandii oraz Laosie. Cycldek stosuje znacznie szerszy zestaw narzędzi niż przypuszczali wcześniej badacze.
Począwszy od 2018 r. większość ataków rozpoczyna się od wiadomości phishingowej zawierającej dokument RTF o tematyce politycznej. Ugrupowanie wykorzystuje znane luki w zabezpieczeniach tych dokumentów w celu „podrzucenia” szkodliwego narzędzia zdalnej administracji o nazwie NewCore. Szkodnik ten w rzeczywistości składa się z dwóch wariantów posiadających zaawansowane możliwości kradzieży danych: BlueCore oraz RedCore. BlueCore prawdopodobnie był wykorzystywany przeciwko placówkom dyplomatycznym i rządowym w Wietnamie, podczas gdy RedCore został po raz pierwszy użyty w Wietnamie, a następnie wykryto go w Laosie. Oba pobierają nieznane wcześniej szkodliwe oprogramowanie o nazwie USBCulprit.
USBCulprit był stosowany od 2014 r., przy czym nowe próbki pojawiały się dopiero w 2019 r. Posiada zarówno możliwość przeprowadzania inspekcji sieci, jak i kradzieży danych. Po zainstalowaniu skanuje różne ścieżki na zainfekowanym urządzeniu, gromadząc dokumenty posiadające określone rozszerzenia. Są one następnie przenoszone na podłączone do systemu nośniki USB. To sugeruje, że celem szkodnika było atakowanie maszyn, które nie są bezpośrednio połączone z internetem lub z innym komputerem, który jest do niego podłączony. Często urządzenia te są również fizycznie odizolowane. To oznacza, że jedynym sposobem na przesłanie danych jest użycie nośnika zewnętrznego, np. dysku USB.
Ponieważ szkodnik nie jest automatycznie uruchamiany po podłączeniu zainfekowanego nośnika USB do maszyny, niewykluczone, że do infekcji wymagana była pomoc człowieka.
USBCulprit potrafi brać na celownik określone pliki, łącznie z tymi, które zostały ostatnio zmodyfikowane (uwzględniając określoną sygnaturę czasową), jak również rozszerzać swoje możliwości. Późniejsze wersje szkodnika potrafią także wykonywać pliki o określonych nazwach z podłączonych nośników USB. Jest to zaawansowany dodatek do coraz dłuższej listy autorskich narzędzi wykorzystywanych przez opisywane ugrupowanie. Znajduje się wśród nich również opracowany przez cybergang trojan dający dostęp do zainfekowanych maszyn, narzędzie do kradzieży ciasteczek oraz oprogramowanie kradnące hasła z baz danych przeglądarek opartych na projekcie Chromium.
– Z naszej analizy wynika, że opisywane ugrupowanie to nie drugorzędny, mniej zaawansowany gracz, jak wcześniej sądzono. W rzeczywistości posiada ono znacznie większą obecność w Azji Południowo-Wschodniej oraz znacznie bardziej wyrafinowany zestaw narzędzi, niż wynikało to z początkowych raportów – powiedział Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
– Możliwe, że ataki ugrupowania Cycldek na zlokalizowane w Azji Południowo-Wschodniej organizacje o kluczowym znaczeniu będą kontynuowane. Aktywność tej grupy cyberprzestępczej nie tylko nie ustała od 2013 r., ale wręcz rozwija się poprzez wykorzystywanie nowego szkodliwego oprogramowania oraz atakowanie nowych państw. Dlatego nadal będziemy monitorować jej poczynania – dodał Giampaolo Dedola, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.