çoğu için Siber güvenlik endüstrisinde, USB sürücüler yoluyla yayılan kötü amaçlı yazılımlar, son on yılın (veya ondan öncekinin) ilginç hacker tehdidini temsil ediyor. Ancak Çin destekli bir grup casus, personeli gelişmekte olan ülkelerde bulunan küresel organizasyonların bir ayağını hâlâ teknolojik geçmişte tuttuğunu, flaş sürücülerin kartvizitler ve internet kafeler gibi elden ele dolaşıp yok olmaktan çok uzak olduğunu anlamış görünüyor. Geçtiğimiz yıl, casusluk odaklı bilgisayar korsanları, bu coğrafi zaman tünelinden yararlanarak eski USB kötü amaçlı yazılımlarını düzinelerce kurbanın ağına geri getirdi.
Bugünkü mWise güvenlik konferansında, siber güvenlik firması Mandiant’ın araştırmacıları, UNC53 olarak adlandırdıkları Çin bağlantılı bir hacker grubunun, eski usul kandırma yaklaşımını kullanarak geçen yılın başından bu yana dünya çapında en az 29 kuruluşu hacklemeyi başardığını ortaya çıkardı. personelinin kötü amaçlı yazılım bulaşmış USB sürücülerini ağlarındaki bilgisayarlara takması. Bu kurbanlar Amerika Birleşik Devletleri, Avrupa ve Asya’yı kapsıyor olsa da Mandiant, enfeksiyonların çoğunun çok uluslu kuruluşların Mısır, Zimbabve, Tanzanya, Kenya, Gana ve Madagaskar gibi ülkelerdeki Afrika merkezli operasyonlarından kaynaklandığını söylüyor. Bazı durumlarda, kötü amaçlı yazılım (aslında Sogu olarak bilinen on yıldan daha eski bir türün çeşitli varyantları), matbaalar ve internet kafelerdeki paylaşılan bilgisayarlardan USB bellek yoluyla taşınarak, yaygın bir veri ağındaki bilgisayarlara ayrım gözetmeksizin bulaşıyor gibi görünüyor.
Mandiant araştırmacıları, kampanyanın, büyük ölçüde kimlik avı ve yazılım açıklarından uzaktan yararlanma gibi daha modern tekniklerin yerini aldığı flash sürücü tabanlı bilgisayar korsanlığının şaşırtıcı derecede etkili bir şekilde yeniden canlanışını temsil ettiğini söylüyor. Mandiant araştırmacısı Brendan McKeague “USB enfeksiyonları geri döndü” diyor. “Günümüzün küresel olarak dağıtılmış ekonomisinde, bir kuruluşun merkezi Avrupa’da olabilir, ancak dünyanın Afrika gibi bölgelerinde uzak çalışanları var. Birçok durumda, Gana veya Zimbabve gibi yerler bu USB tabanlı izinsiz girişlerin enfeksiyon noktasıydı.”
Mandiant’ın bulduğu ve Sogu veya bazen Korplug veya PlugX olarak bilinen kötü amaçlı yazılım, on yılı aşkın süredir büyük ölçüde Çin merkezli çeşitli bilgisayar korsanlığı grupları tarafından USB olmayan formlarda kullanılıyor. Uzaktan erişim truva atı, örneğin Çin’in 2015 yılında ABD Personel Yönetimi Ofisi’ni kötü şöhretli ihlalinde ortaya çıktı ve Siber Güvenlik ve Altyapı Güvenliği Ajansı, bunun 2017’de yeniden geniş bir casusluk kampanyasında kullanıldığı konusunda uyarıda bulundu. Ancak Ocak ayında 2022’de Mandiant, olay müdahale araştırmalarında truva atının yeni versiyonlarının tekrar tekrar ortaya çıktığını görmeye başladı ve bu ihlallerin izini her seferinde Sogu’nun bulaştığı USB flash sürücülere kadar takip etti.
O zamandan bu yana Mandiant, USB hackleme kampanyasının bu ay gibi yakın bir zamanda hızlandığını ve danışmanlık, pazarlama, mühendislik, inşaat, madencilik, eğitim, bankacılık ve ilaç sektörünün yanı sıra devlet kurumlarına kadar uzanan yeni kurbanlara bulaştığını izledi. Mandiant, çoğu durumda enfeksiyonun bir internet kafe veya matbaadaki ortak bir bilgisayardan alındığını ve Harare, Zimbabve’deki Robert Mugabe Havaalanı’nda halka açık bir internet erişim terminali gibi makinelerden yayıldığını buldu. Mandiant araştırmacısı Ray Leong, “UNC53’ün amaçlanan enfeksiyon noktasının, insanların Afrika boyunca bölgesel olarak seyahat ettiği veya hatta muhtemelen bu enfeksiyonu Afrika dışında uluslararası olarak yaydığı bir yer olması durumunda bu ilginç bir durum” diyor.
Leong, Mandiant’ın böyle bir konumun kasıtlı bir enfeksiyon noktası mı yoksa “bu kampanya belirli bir bölgede yayıldığı için yoldaki başka bir durak mı” olduğunu belirleyemediğini belirtiyor. Ayrıca bilgisayar korsanlarının çok uluslu bir şirketin Afrika’daki operasyonlarına erişimlerini kullanarak şirketin Avrupa veya ABD operasyonlarını hedef alıp almadıkları da tam olarak belli değildi. En azından bazı durumlarda, Çin’in kıtadaki stratejik ve ekonomik çıkarları göz önüne alındığında, casusların bizzat Afrika operasyonlarına odaklandığı ortaya çıktı.