Los atacantes utilizan una herramienta para infectar redes de equipos físicamente aislados y robar archivos confidenciales a través de unidades extraíbles.
ESET informó sobre otra de las actividades del grupo de ciberespionaje Sednit, enfocada en atacar computadoras físicamente aisladas, utilizando una herramienta para extraer información confidencial de las redes (entre “air gaps”) y que se detecta comoWin32/USBStealer.
Se estima que Sednit habría estado usando la herramienta durante casi 10 años con distintos grados de complejidad para atacar a las instituciones gubernamentales de Europa Oriental.
Un air gap es una medida de seguridad de redes que consiste en procurar que una red segura de computadoras esté físicamente aislada de redes inseguras, como Internet público o una red de área local no asegurada correctamente.
La infección se transmite del Equipo A que está conectado a Internet y se infecta inicialmente con el dropper Win32/USBStealer y trata de imitar un programa ruso legítimo llamado Disco USB de Seguridad, para controlar la inserción de las unidades extraíbles, mientras que el Equipo B está físicamente aislado y se infecta con Win32/USBStealer durante el ataque.
ESET advirtió que el uso de unidades extraíbles puede generar más equipos infectados; particularmente cuando la misma unidad extraíble se conecta reiteradamente en equipos conectados a Internet y en equipos aislados.
El objetivo principal de estos ataques es extraer información confidencial del usuario directamente desde los sistemas y equipos que no están conectados a Internet. De esta manera los criminales tratan de sobrepasar ciertas medidas de seguridad para la prevención de casos de fuga de información.