La dernière itération du logiciel malveillant démontre une propagation sans entraves grâce à l’utilisation de périphériques USB, lui permettant ainsi de traverser les frontières du réseau et les différents continents facilement.
CPR invite les entreprises à se protéger contre des méthodes d’attaque similaires et à sécuriser leurs actifs qui utilisent des clés USB.
Lors d’un récent incident survenu dans un établissement de santé en Europe, l’équipe de réponse aux incidents de Check Point (CPIRT) a découvert une attaque de malware inquiétante. Cet incident a mis en lumière les activités de Camaro Dragon, un acteur de la menace d’espionnage basé en Chine, également connu sous les noms de Mustang Panda et LuminousMoth. Jusqu’à présent, l’organisation avait principalement ciblé les pays d’Asie du Sud-Est. Cependant, cette nouvelle découverte met en lumière son envergure mondiale et souligne de manière préoccupante le rôle des clés USB dans la propagation des malwares.
Le système de santé a été compromis par un logiciel malveillant qui s’est infiltré via une clé USB infectée, compromettant ainsi ses systèmes. Cet incident a incité Check Point Research (CPR) à mener une enquête approfondie, qui a permis de découvrir de nouvelles versions du malware. Ces programmes malveillants possèdent une capacité de propagation via des clés USB, les transformant ainsi en des vecteurs d’infection puissants, capables de se propager au-delà de leurs cibles initiales.
Un employé qui a participé à une conférence en Asie a été identifié comme le patient zéro de l’infection dans l’établissement de santé. Il a partagé sa présentation avec les autres membres du groupe sur une clé USB. Malheureusement, l’ordinateur d’un de ses collègues était infecté par le malware, et lorsque l’employé a partagé sa clé USB avec lui, cette dernière a été infectée à son insu. Ainsi, à son retour dans son établissement de santé en Europe, l’employé a introduit par inadvertance la clé USB infectée, ce qui a entraîné la propagation de l’infection aux systèmes informatiques de l’hôpital.
Cet incident met en évidence la véracité des informations présentées dans le rapport d’Avast publié fin 2022. Le rapport révélait l’existence d’un ensemble d’outils, désigné sous le nom de SSE, qui avait été identifié par les chercheurs sur l’un des serveurs de distribution liés au groupe de cybercriminels Mustang Panda. L’incident débute lorsque la victime exécute un lanceur Delphi malveillant depuis la clé USB infectée. Ce lanceur expose tous les fichiers de la victime qui étaient dissimulés lors de l’infection de la clé USB. Le lanceur joue un rôle crucial en déclenchant la principale porte dérobée et en infectant chaque clé USB lorsqu’elle est connectée.
Une variante du malware, connue sous le nom de WispRider, a émergé comme principal responsable de l’infection. Ses créateurs ont peaufiné ses capacités, en la dotant d’une porte dérobée et de la possibilité de se propager par le biais de clés USB à l’aide du lanceur HopperTick. De plus, WispRider est doté de fonctions supplémentaires, dont un mécanisme de contournement de SmadAV, un logiciel antivirus très répandu en Asie du Sud-Est. Il recourt même au téléchargement de DLL, en utilisant à des fins d’évasion des composants de logiciels de sécurité tels que G-DATA Total Security, ainsi que de grandes sociétés de jeux comme Electronic Arts et Riot Games.
Check Point Research a informé ces entreprises que les attaquants avaient utilisé leurs logiciels.
Ce rapport, soutenu par des preuves provenant d’autres sources du secteur, confirme que des acteurs malveillants affiliés à la Chine, tels que Camaro Dragon, persistent à exploiter la puissance des dispositifs USB comme vecteur d’infection. Le fait que ces acteurs malveillants utilisent activement les clés USB comme moyen de propagation des malwares souligne à quel point il est urgent que les entreprises restent vigilantes et qu’elles prennent des mesures pour protéger leurs actifs.
Pour protéger une entreprise contre les risques liés aux clés USB, il faut prendre les mesures suivantes :
Sensibiliser : sensibiliser les employés aux dangers potentiels que représente l’utilisation de clés USB émanant de sources inconnues ou non fiables. Incitez-les à la prudence et dissuadez-les d’utiliser des clés inconnues sur les appareils de l’entreprise.
Instaurer des politiques strictes : définir des lignes directrices claires concernant l’utilisation des clés USB au sein de l’entreprise. Limiter ou à interdire leur utilisation, sauf lorsqu’elles proviennent de sources fiables et qu’elles sont analysées pour détecter les malwares.
Rechercher des alternatives sûres : il est recommandé d’explorer des alternatives comme le pour réduire la dépendance aux clés USB physiques et d’atténuer les conséquences qui peuvent en résulter.
Actualiser les mesures de sécurité : mettre régulièrement à jour les logiciels antivirus et autres mesures de sécurité sur tous les appareils. Analyser systématiquement les clés USB pour détecter d’éventuelles infections par des malwares.
Renforcer la gestion des appareils : il est conseillé de mettre en place des politiques rigoureuses de gestion des périphériques pour surveiller et contrôler l’utilisation des clés USB. Il fait limiter les accès non autorisés, obligation de chiffrement et surveille les activités USB pour détecter tout comportement suspect.
L’incident survenu dans l’établissement de santé a mis en évidence le fait que les clés USB sont redevenues un moyen privilégié dont se servent les malwares pour s’infiltrer dans les entreprises du monde entier. Les entreprises qui suivent l’actualité et qui adoptent des mesures de sécurité proactives peuvent se défendre efficacement contre les attaques par clé USB et protéger leurs actifs importants contre les cybermenaces.