Un gruppo di hacker di origine russa, notoriamente noto per mirare a entità ucraine, ha recentemente ampliato la sua portata, coinvolgendo nuovi membri e consentendo a un Worm spionistico basato su USB di infettare numerose organizzazioni in diverse parti del mondo.
Identificato con vari nomi, tra cui Gamaredon, Primitive Bear, ACTINIUM, Armageddon e Shuckworm, questo gruppo è attivo dal 2014 e è stato collegato al Servizio Federale di Sicurezza della Russia dall’Ufficio di Sicurezza Ucraino.
A differenza di altri gruppi legati al Cremlino, Gamaredon non opera in modo discreto. Le sue campagne di spionaggio, rivolte a numerose organizzazioni ucraine, sono facilmente tracciabili fino al governo russo e si concentrano su malware progettati per raccogliere informazioni.
Tra gli strumenti utilizzati da questo gruppo c’è un worm informatico progettato per diffondersi attraverso dispositivi USB. Noto come LitterDrifter, questo malware è scritto in Visual Basic Scripting.
LitterDrifter è un malware progettato per diffondersi da un’unità USB all’altra, instaurando infezioni persistenti sui dispositivi collegati. Operando in simbiosi con i server di comando e controllo gestiti da Gamaredon, il malware mantiene una comunicazione continua.
Pur avendo Gamaredon come focus principale sugli obiettivi ucraini, il worm USB ha dimostrato una capacità di infiltrazione globale, colpendo periferiche in paesi quali USA, Vietnam, Cile, Polonia e Germania. L’emergere di segnali di possibili infezioni ad Hong Kong suggerisce un’ulteriore diffusione internazionale. Segnalazioni su VirusTotal indicano che le infezioni al di fuori dell’Ucraina costituiscono la metà di quelle nel paese.
I worm, celebri per la loro capacità di propagarsi autonomamente, richiamano alla memoria esempi illustri come il noto Stuxnet, progettato dalla NSA degli Stati Uniti. LitterDrifter, seguendo una logica analoga, sfrutta le porte USB per la diffusione. Il suo modulo di diffusione genera collegamenti nascosti e file con nomi casuali, facilitando la sua espansione attraverso i dispositivi.
Nonostante la sua apparenza tecnica semplice, LitterDrifter si dimostra efficace nell’espandere l’infezione oltre i confini dell’Ucraina. La sua capacità di raccogliere dati su vasta scala è il risultato di metodologie apparentemente semplici, ma straordinariamente efficienti.
