Разработчик Райан Уокер (Ryan Walker) из Interrupt Labs на платформе Crowd Supply запустил кампанию по сбору средств на запуск серийного производства необычного USB-накопителя под названием Ovrdrive USB. Главная особенность устройства заключается в наличии механизма физического самоуничтожения, при активации которого чип памяти разогревается до температуры выше 100 ºС.

Источник изображения: Interrupt Labs

По умолчанию Ovrdrive USB не зашифрован, поэтому его можно спокойно использовать в странах, где шифрование запрещено на законодательном уровне. Носитель также имеет дополнительную степень защиты на физическом уровне. Чтобы флешка нормально определилась при подключении к компьютеру её нужно трижды быстро воткнуть в порт USB. Если эти манипуляции не проделать, то носитель будет определяться некорректно, как если бы он был повреждён.

Любопытно, что изначально разработчики планировали реализовать функцию самоуничтожения Ovrdrive при попытке его неправильного подключения. Однако организовать серийное производство таких устройств оказалось затруднительно, поэтому от этой идеи пришлось отказаться. Тем не менее, Уокер оставил нетронутым в конечном продукте механизм самоуничтожения. Он предполагает повышение подаваемого на плату напряжения, из-за чего она разогревается до примерно 100 ºС. Отмечается, что температуры может быть недостаточно для уничтожения чипа памяти, но у пользователей есть возможность исправить это, доработав устройство самостоятельно. При этом разработчики не намерены поставлять с устройством какие-либо опасные соединения.

В первой версии устройства для активации накопитель нужно было потрогать влажными пальцами, т.е. пользователю фактически приходилось бы облизывать пальцы, чтобы начать взаимодействие с Ovrdrive USB. Разработчики заявляют, что новинка ориентирована на журналистов, исследователей и других людей, которым требуется дополнительная защита информации. На время проведения кампании по сбору средств на выпуск Ovrdrive USB приобрести устройство можно за $69 в США, а за доставку за пределы страны придётся доплатить $12.

По компьютерам во всем мире активно распространяется вирус WispRider, сообщили эксперты Check Point Research. Заражение происходит через USB-накопители, а ответственность за эпидемию специалисты возложили на хакерскую группировку Camaro Dragon, известную также под названиями Mustang Panda, Luminous Moth и Bronze President — её связывают с Китаем.

Источник изображения: jacqueline macou / pixabay.com

Первое заражение новым вирусом предположительно произошло на некой международной конференции, проходившей в Азии. Один из участников мероприятия, которого назвали «нулевым пациентом», передал свой USB-накопитель другому участнику, чтобы тот скопировал себе файл презентации, но компьютер последнего был заражён, и накопитель вернулся к владельцу уже заражённым. Вернувшись в свою европейскую страну человек вставил накопитель в один из рабочих компьютеров в медицинском учреждении, что привело к заражению всей больничной сети.

Основной функции вируса присвоили название WispRider — впервые бэкдор, обеспечивающий хакерам доступ к компьютеру жертвы, был обнаружен специалистами Avast в конце прошлого года, но с тех пор вирус оброс новыми функциями. Он распространяется через USB-накопители при помощи программы автозапуска HopperTick, оставаясь невидимым для популярного в Южной Азии антивируса SmadAV. Вредонос осуществляет загрузку DLL-файла при помощи программных компонентов антивируса G-DATA Total Security, а также продуктов игровых разработчиков Electronic Arts и Riot Games — исследователи Check Point Research уже уведомили их об этом. Загружается также написанный на языке Go бэкдор TinyNote и вредоносный компонент прошивки маршрутизаторов HorseShell.

Источник изображения: sebastianperezhdez / pixabay.com

Когда к заражённому компьютеру подключается USB-накопитель, вирус обнаруживает новое устройство и создаёт в корне флешки несколько скрытых папок. Далее он копирует на накопитель загрузчик на Delphi с именем этого накопителя и его стандартным значком. С технической точки зрения ничего экстраординарного не происходит — это обычный сценарий, и распространение вируса происходит в основном за счёт человеческого фактора. Вместо своих файлов на диске жертвы видят исполняемый файл, который они бездумно запускают, заражая тем самым свою машину. WispRider действует одновременно как заражающий модуль и бэкдор для доступа к файлам пользователя, подгружая выполняющий обе функции DLL-файл — вредоносная активность запускается с заражённой машины, а если этого ещё не произошло, то производится собственно заражение. Вирус также распространяется по доступным сетевым ресурсам.

Для защиты от эпидемии WispRider эксперты предлагают следующие меры безопасности.

• Проводить на предприятиях разъяснительную работу среди сотрудников, повышая их осведомлённость о потенциальной угрозе, которую представляют USB-накопители из неизвестных или ненадёжных источников; а также поощрять осмотрительное поведение и не допускать подключение незнакомых накопителей к корпоративным устройствам.
• Строго и чётко регламентировать правила подключения USB-накопителей к устройствам в корпоративной сети вплоть до запрета их использования, если они не были получены из надёжных источников.
• Найти безопасные альтернативы USB-накопителям — облачные хранилища и зашифрованные файлообменные платформы. Это снизит зависимость от внешних устройств и частично нейтрализует связанные с ними риски.
• Проводить своевременное обновление антивирусного и другого ПО для обеспечения безопасности на всех устройствах, а также периодическое сканирование USB-накопителей на наличие вредоносного ПО.