Un grupo de hackers chinos han encontrado en las memorias USB la vía perfecta para infectar a medio mundo
La industria de la ciberseguridad se ha enfocado en los últimos años en explorar todas las posibles amenazas que pueden llegar a través de las nuevas tecnologías y formatos que van irrumpiendo en la industria. A medida que este ámbito va creciendo y desarrollándose, también lo hacen los posibles riesgos que recibimos en nuestros dispositivos. Sin embargo, un grupo de hackers chinos están poniendo en jaque a los expertos utilizando una simple memoria USB.
Para cualquier experto en ciberseguridad, las memorias USB eran consideradas una amenaza, como mínimo, una década atrás. Sin embargo, la realidad es que, pese a que la tecnología se ha ido desarrollando, existen ciertas vulnerabilidades del pasado que continúan siendo un problema mayúsculo en la actualidad. Este es el caso de las memorias USB que, ahora, vuelven a ser protagonistas a consecuencia de las acciones que están ejecutando un grupo de hackers chinos.
Diferentes grupos especializados han encontrado diferentes pruebas que desde China se han llevado a cabo todo tipo de ciberataques utilizando el USB de los ordenadores como entrada. Aprovechándose de que todavía son muchos los países, especialmente aquellos que se encuentran en vías de desarrollo, que usan estos dispositivos en su día a día.
Además, no estamos hablando de algo a escala pequeña, como esas «bromas» de dejar un pendrive bomba abandona por la calle para fastidiar al primer incauto que lo conecte a su ordenador. Se trata de cosas a gran escala que han afectado incluso a compañías, tal y como os contamos a continuación.
Una treintena de organizaciones afectadas
Durante las jornadas de ciberseguridad enmarcadas dentro de la Conferencia mWISE, la firma de seguridad Mandiant presentaba un informe revelando que un grupo de hackers vinculados a China lograron entrar, y piratear, al menos 29 organizaciones en todo el mundo. Para ello, se sirvieron de un método que a día de hoy puede pasar desapercibido, pero cuyo impacto puede ser clave, como es el caso del uso de los lápices USB.
Conscientes de que en Europa y en Estados Unidos el uso de los lápices USB es cada vez menor, se aprovecharon de países como Egipto, Kenia, Ghana o Madagascar para introducir dispositivos USB en sus ordenadores y, desde ahí, viajar a todos los rincones de Estados Unidos, Europa o, incluso, Asia. Uno de los puntos de origen detectado se encuentra, precisamente, en uno de los ordenadores del aeropuerto de Harare, en Zimbabwe. De este modo, el alcance internacional es mucho más sencillo de abarcar.
Llama especialmente la atención el modus operandi utilizado si tenemos en cuenta que durante los últimos años la inmensa mayoría de los ciberataques que hemos tenido han aprovechado vías mucho más modernas y desarrolladas, como el smartphone por medio de técnicas de phishing o, directamente, smishing. Con la suplantación de identidad como denominador común entre todas ellas.
El trabajo en remoto como posible vía de entrada
Brenda McKeague, una de las investigadoras de Mandiant, afirmó que una de las posibles amenazas llegaba a consecuencia de los trabajadores en remoto. “En una economía globalmente distribuida, una organización puede tener su sede en Europa, pero tiene trabajadores remotos en regiones del mundo como África. En múltiples casos, lugares como Ghana o Zimbawe fueron el punto de infección de estas intrusiones basadas en USB”.
El malware encontrado, identificado como Sogu, PlugX o Korplug, es popularmente conocido por todos los analistas de ciberseguridad. Algunos de sus ataques más conocidos se han llevado a cabo en el año 2015 hacia la Oficina de Gestión de Personal de EEUU, por ejemplo. No obstante, durante los últimos años siempre se había usado de manera remota. Desde el año 2022, Mandiant afirma que la explotación de memorias USB ha sido uno de los motivos para entender su peligrosa propagación.
Los lápices USB que se han encontrado y analizado guardan ciertas diferencias con el método tradicional que se utilizaba. Puesto que no se ejecuta el malware de manera inmediata, tratando de evitar ser localizados por algún antivirus que pueda estar instalado. Y, además, también puede infectar máquinas y robar datos incluso en aquellos casos en los que los equipos se encuentren aislados y no tengan conexión a internet.