卡巴斯基

使用具備加密功能的隨身碟，就能確保資料安全嗎？最近有研究人員指出，駭客鎖定會使用這類隨身碟傳輸資料的政府機關下手，從而入侵受隔離系統（Air-Gapped），從中竊取機密資料。

根據資安新聞網站Bleeping Computer的報導，資安業者卡巴斯基在近期發布的APT趨勢調查報告當中，提及駭客組織TetrisPhantom的攻擊行動，但沒有透露相關細節。該新聞網站進一步向卡巴斯基確認，這些駭客針對亞太地區的政府下手，鎖定安全USB隨身碟的加密磁區資料，利用名為UTetris的應用程式木馬化版本進行竊密。

駭客首先在使用者的電腦執行名為AcroShell的惡意酬載，此惡意程式與C2伺服器進行通訊，然後下載額外的作案工具，偷取檔案及機敏資料，同時收集使用者存取USB隨身碟的特定資訊，將其用於打造名為XMKR的惡意程式，以及木馬化的UTetris，XMKR部署至Windows電腦之後，會伺機滲透至連接這臺電腦的安全USB隨身碟，再透過這支安全USB隨身碟，對受隔離系統發動攻擊（當使用者這支安全USB隨身碟接上隔離系統時，惡意程式可再擴散到這個環境當中）。

針對這起攻擊行動當中駭客的手法，研究人員認為當中採用了複雜的工具及技術，包括：以虛擬化為基礎的手法將惡意軟體的元件進行混淆、利用直接SCSI命令與USB裝置進行低階通訊，以及惡意程式在電腦連接加密隨身碟時會進行自我複製，然後散布到受隔離的系統。再者，攻擊者將惡意程式碼植入隨身碟的存取管理應用程式，而被用於感染另一臺電腦惡意程式。

研究人員一共看到兩種版本的木馬化UTetris，一種出現於2022年9月至10月，另一種從去年10月使用至今，然而，他們認為駭客的攻擊行動已經進行多年，而且，駭客的惡意程式僅感染政府網路上少數電腦，這代表攻擊行動相當具有針對性。