Si le phénomène s'était largement réduit ces dernières années, l'entreprise de cybersécurité Mandiant a relevé une multiplication par trois des malwares se diffusant par clé USB.
Deux campagnes particulièrement vicieuses seraient en cours, notamment en France.
Les attaques par USB toujours pertinentes en 2023
Si la prévention et la diffusion de l'information ont aidé à réduire au cours des dernières années les malwares à l'aide de clés USB, le déclin de ce type d'attaque est peut-être à chercher ailleurs : le cloud et les autres systèmes qui permettent de s'en passer. Pourtant, la technique n'est pas morte, comme l'a montré sa résurgence au premier semestre 2023, et présente des avantages certains qui lui permettent de rester pertinente.
On compte au rang de ces derniers la discrétion, qui leur permet de passer sans problèmes la plupart des sécurités, mais aussi un accès parfois direct à des réseaux d'entreprise internes. Surtout, cela permet d'infecter des systèmes qui sont coupés d'Internet et de communications avec n'importe quel autre device. Les supports infectés peuvent ensuite parfois répliquer le malware sur n'importe quelle autre clé USB qui s'y connecte, rendant certains lieux, comme les imprimeries ou les hôtels, tout particulièrement vulnérables.
Deux malwares particulièrement menaçants
Dans son rapport, Mandiant souligne l'importance et la dangerosité de deux campagnes de malwares par USB.
La première est SOGU, et la société de cybersécurité la considère comme « l'une des campagnes de cyberespionnage les plus agressives ». Présente sur tous les continents, elle utilise des clés USB pour charger un malware sur les ordinateurs infectés, leur permettant de voler toutes les informations du support hôte. Cette campagne est attribuée à un groupe de hackers chinois qui travaillent pour les services de sécurité du pays. Différentes industries, du transport à la construction, en passant par la santé et des administrations publiques sont touchées.
L'autre campagne de la sorte que souligne Mandiant est Snowydrive. Cette dernière est attribuée à UNC4698, un groupe qui vise avant tout l'industrie du gaz et du pétrole en Asie. Dès qu'un support USB infecté est inséré dans un ordinateur, elle charge un programme qui crée une backdoor dans le système hôte. Cela permet ensuite aux hackers à l'origine du malware d'accéder à certains contrôles du système concerné et de lancer certaines commandes. Vicieux, ce virus se transmet ensuite automatiquement à toute autre clé USB qui serait insérée dans l'ordinateur infecté.
Source : BleepingComputer, Mandiant
