Amerikaanse hackers hebben een bedrijf gehackt door een virus in een speciaal aangepaste Logitech muis te verstoppen. De aanval was onderdeel van een afgesproken beveiligingstest, waarbij hackers van Netragard toegang tot een bedrijfsnetwerk moesten krijgen. Het doelwit bestond uit een enkel IP-adres met een firewall die geen services aanbood. Ook was het gebruik van social engineering gebaseerd op sociale netwerken, telefoon of e-mails niet toegestaan en mochten de hackers zichzelf ook geen fysieke toegang tot de campus en omliggende gebieden verschaffen. Toch moest men op afstand het netwerk overnemen.

Een oplossing zou Autorun malware op een USB-stick zijn, maar deze tactiek werkt niet meer. Ten eerste omdat mensen met het gevaar van USB-sticks bekend zijn en en ten tweede omdat bedrijven via Group Policies Autorun uitschakelen. De oplossing waar Netragard mee kwam was Prion, een kleine microcontroller, micro USB-hub, mini USB-kabel, een micro USB-stick en zelf ontwikkelde malware, verpakt in een USB-apparaat.

Voor de aanval koos men een Logitech muis die werd opengemaakt en voorzien van de Prion-onderdelen. Na het nodige geknutsel en soldeerwerk had men de onderdelen in de ogenschijnlijk normale Logitech muis verstopt.

Verpakking
Het tweede deel van de aanval betrof de malware. De hackers wisten dat de klant McAfee als virusscanner gebruikte, omdat één van de werknemers er op Facebook over klaagde. Er werd specifieke malware ontwikkeld voor McAfee. Daarnaast moest de malware met hackertool Metasploit werken. Vervolgens werd er een ongedocumenteerde zero-day techniek gebruikt om het waarschuwingsvenster van de firewall en detectie door de software te omzeilen. De malware werd op de kleine USB-stick aangebracht en de microcontroller zo geprogrammeerd dat die zestig seconden na gebruikersactiviteit de malware activeerde.

De laatste stap was het versturen van de muis naar de klant. Hiervoor moest men de muis in de originele verpakking stoppen. Vervolgens werd een lijst met namen van de werknemers gekocht en een geschikt doelwit uitgezocht. De muis werd als een promotieaanbieding verpakt, inclusief valse marketing flyers en toen verstuurd. Drie dagen later was de malware actief en maakte verbinding met de hackers.