Verschillende militaire air-gapped netwerken zijn de afgelopen jaren het doelwit van aanvallen geweest, waarbij het de aanvallers lukte om de netwerken met de USBferry-malware te besmetten, zo meldt antivirusbedrijf Trend Micro. Eerder deze week kwam antivirusbedrijf ESET met het nieuws dat het spionagemalware had ontdekt die in staat zou zijn om binnen air-gapped netwerken te opereren. Mogelijk was de malware volgens de virusbestrijder tegen organisaties met geïsoleerde netwerken ingezet, maar ESET noemde geen voorbeelden van daadwerkelijke aanvallen of slachtoffers.

Trend Micro claimt in een nieuwe analyse dat het meerdere slachtoffers van de USBferry-malware heeft waargenomen, waarbij in ieder geval één militair air-gapped netwerk via het netwerk van militair ziekenhuis besmet raakte (pdf). Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een bekend voorbeeld van air-gapped computers bevonden zich in de Iraanse uraniumverrijkingscentrale Natanz, die door de Stuxnetworm werden geïnfecteerd. De infectie vond zeer waarschijnlijk plaats via een besmette usb-stick.

Er zijn echter meer organisaties die met air-gapped systemen werken en een groep aanvallers genaamd "Tropical Trooper" probeert al sinds 2014 om die aan te vallen, aldus Trend Micro. De aanvallers maken hierbij gebruik van de USBferry-malware. Recentelijk waren fysiek geïsoleerde netwerken van het Taiwanese en Filipijnse leger doelwit van de malware, zo laat de virusbestrijder weten.

De aanval begint met een malafide e-mail die een besmette bijlage bevat. Deze bijlage installeert wanneer geopend de malware op het systeem. Deze malware probeert vervolgens aangesloten usb-sticks te infecteren. Wanneer de besmette usb-stick op een andere computer wordt aangesloten kan de malware zich verder verspreiden. Of en welk bestand de gebruiker hiervoor moet openen is onduidelijk. We hebben Trend Micro om meer duidelijkheid hierover gevraagd.

Wel staat vast dat de malware op besmette systemen naar allerlei documenten zoekt en die op de usb-stick bewaart. Zodra de usb-stick wordt aangesloten op een systeem met een internetverbinding stuurt USBferry de documenten terug naar de aanvallers. "Gebaseerd op onze telemetrie vinden dergelijke aanvallen sinds december 2014 plaats en zijn alleen gericht tegen militaire en overheidsgebruikers in Azië", zegt onderzoeker Joey Chen.

Volgens Chen hebben de aanvallers de tijd genomen om hun doelwitten te monitoren en hun netwerken te bestuderen, om zo uiteindelijk informatie van fysiek gescheiden netwerken te stelen. "We hebben al gezien dat de groep Taiwanese overheidsinstellingen en Filipijnse militaire agentschappen heeft aangevallen. Ook hebben we ontdekt dat de groep andere industrieën of bedrijven aanvalt die aan militaire agentschappen zijn gerelateerd en als springplank gebruiken voor het infiltreren van fysiek gescheiden netwerken", aldus de onderzoeker.