Эксперты ESET, проанализировав хакерский инструментарий, использованный одной пророссийской группировкой хакеров, известной под обозначениями «APT 28», «Sednit» или «Sofasy», пришли к выводу, что для съема данных хакеры (которых вдобавок подозревают в тесных контактах с российскими спецслужбами) использовали 32-битный win-зловред USBStealer.
Из анализа следует, что троянец, скрывающийся под маской легитимного защитного USB-приложения (дроппера) USB DiskSecurity, содержит USBStealer, который и заражает подсоединенные к Сети компьютеры государственных структур. После инфицирования дроппер начинает мониторить систему на предмет выявления там съемных дисков, при обнаружении которых и устанавливает троянец на такой диск. В общем, пока владелец ПК курит электронный кальян starbuzz e hose, его система поддается заражению и становится таким же распространителем вируса.
Запускающий файл вредоноса сконструирован так, что позволяет производить выполнение USBStealer после вставки съемного диска в другие компьютеры. Если ПК имеет онлайн-выход, то зловред помечает накопитель USB как примененный на ПК, подсоединенном к интернету. Если же носитель с USBStealer подключается к ПК, находящимся в изолированной сети, то происходит инфицирование самого компьютера. При этом происходит одновременная регистрация имени компьютера на зараженном съемном диске. Это позволяет хакерам определять устройства с открытым для злоумышленников доступом. Впоследствии при повторном подключении USB-накопителя к инициированному ПК, администратор трояна внедряет в компьютер ряд команд для извлечения информации. Выполнение таких команд происходит после подключения зараженного накопителя к компьютерам, находящимся в закрытых сетях. Владельцу зараженного компьютера остается только успокоиться, выкурить электронный кальян starbuzz e hose и начать поиски квалифицированного мастера по ремонту ПК.
Такого рода кибератака возможна исключительно тогда, когда на устройстве жертвы запущена опция автозапуска, и хотя в последних обновлениях Windows данную опцию деактивировали, однако этот метод способен дать результаты, поскольку большинство ПК, работающих в изолированных сетях, являются устаревшими по причине отсутствия онлайнового соединения.