"2021 augusztusa óta az FBI több jelentést kapott ilyen USB-eszközöket tartalmazó postai küldeményekről, amelyeket a szállítási, biztosítási és védelmi iparágakban működő amerikai vállalatoknak küldtek" - közölte a hatóság az amerikai szervezeteknek tegnap küldött biztonsági figyelmeztetésben a The Record szerint.
A csomagoknak két változata van: az egyik esetében a közegészségügyi hatóságok új irányelvének álcázzák a pendrive-os vírust, a másiknál pedig az Amazon-díszdobozos küldeményének tűnnek, amely egy hamisított köszönőlevelet, hamisított ajándékkártyát és a vírusos USB-t tartalmazza. Mindkét esetben a csomagok LilyGO márkájú pendrive-okat tartalmaztak.
Az FBI szerint azonban, ha a címzettek az USB-eszközöket a számítógépükbe dugták, azok BadUSB-támadást hajtottak végre, ahol az USB-meghajtó billentyűzetként regisztrálta magát, és egy sor előre beállított automatikus billentyűleütést küldött a felhasználó számítógépére.
Ezek a billentyűleütések PowerShell parancsokat futtatnak, amelyek különböző rosszindulatú programtörzseket töltenek le és telepítenek, amelyek a támadók számára hátsó ajtóként működnek az áldozatok hálózatában. Az FBI által vizsgált esetekben az ügynökség szerint a csoport rendszergazdai hozzáférést szerzett, majd képes volt átterjedni más helyi rendszerekre is.
"[A] FIN7 szereplői ezután különböző eszközöket használtak - többek között Metasploit, Cobalt Strike, PowerShell szkriptek, Carbanak, GRIFFON, DICELOADER, TIRION - és zsarolóprogramokat, köztük a BlackMattert és a REvilt telepítették a megtámadott hálózatra" - tette hozzá az FBI.
A támadásokkal legutóbb a FIN7 nevezetű csoport egy amerikai védelmi ipari vállalatot is célba vett, még 2021 novemberében, a fentebb részletezett Amazon-csomagos trükköt alkalmazva. Ez már a második riasztás, amelyet az FBI küldött a FIN7 rosszindulatú USB-eszközöket amerikai vállalatoknak postázó támadásáról.
Az FBI az elsőt 2020 márciusában küldte, miután a Trustwave biztonsági cég megtalálta az egyik rosszindulatú BadUSB eszközt, amelyet egyik ügyfelének, egy amerikai vendéglátóipari szolgáltatónak küldtek.
Az Amazon köszönőlevelének, a közegészségügyi Covid-19 riasztásának és a LilyGO márkájú BadUSB eszköznek a képeit tartalmazza az FBI riasztása. Az amerikai vállalatok regisztrálhatnak az InfraGard portálon, hogy hozzáférjenek a riasztáshoz, és többet tudjanak meg a FIN7 legújabb BadUSB-támadásairól.