Onderzoekers hebben malware ontdekt die usb-sticks besmet om zo air-gapped systemen te infecteren. De malware is volgens cybersecuritybedrijf Zscaler het werk van een groep genaamd APT37, ook bekend als ScarCruft, Ruby Sleet en Velvet Chollima. Het zou om een aan Noord-Korea gelieerde groep aanvallers gaan die zich met cyberspionage bezighoudt.

Air-gapping is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers maar ook aanvallers de afgelopen jaren verschillende methodes.

Bijvoorbeeld door gebruik te maken van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes, routerlampjes, magnetische velden, toetsenbordlampjes, wifi-signalen, led-lampjes, SATA-kabels en ultrasone signalen zijn gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer, smartphone of andere apparaat in de buurt terug te sturen.

Bij de malware waarover Zscaler bericht begint de infectie met een .LNK-bestand dat het doelwit opent. Hoe dit bestand bij het doelwit komt wordt niet in de analyse gemeld, maar in het verleden heeft APT37 aanvallen uitgevoerd waarbij LNK-bestanden naar doelwitten werden gemaild. Eenmaal geopend installeert het .LNK-bestand malware op het systeem. Een eigenschap van deze malware is het infecteren van aangesloten usb-sticks.

Zodra een usb-stick op de besmette computer wordt aangesloten controleert de malware eerst of de usb-stick groter dan twee gigabyte is. Vervolgens wordt een verborgen map genaamd RECYCLE.BIN aangemaakt. De malware verbergt en vervangt in de volgende stap aanwezige bestanden op de usb-stick met .LNK-bestanden die identieke namen hebben. Ook wordt de malware naar de usb-stick gekopieerd. Zodra de besmette usb-stick op een schoon systeem wordt aangesloten en de gebruiker een malafide .LNK-bestand opent, raakt ook het schone systeem besmet.

De malware zoekt op het nieuwe besmette systeem naar allerlei bestanden en kopieert die naar de verborgen RECYCLE.BIN map. Zodra de besmette usb-stick op het eerder geïnfecteerde systeem met internetverbinding wordt aangesloten, leest de malware op het besmette systeem de data in de RECYCLE.BIN map uit en stuurt die naar een server van de aanvallers. Windowsgebruikers die voor de detailweergave van bestanden kiezen kunnen zien dat de vervangen bestanden snelkoppelingen zijn en niet de oorspronkelijke bestanden.