Un gruppo di hacker russi, noto per il targeting verso entità ucraine, si è recentemente espanso per quanto riguarda i membri associati a esso, permettendo a un malware spionistico basato su USB, di infettare numerose organizzazioni in diversi paesi del mondo.
Questo gruppo, conosciuto come Gamaredon, Primitive Bear, ACTINIUM, Armageddon e Shuckworm, è attivo dal 2014 ed è stato associato al Servizio Federale di Sicurezza della Russia dall'Ufficio di Sicurezza Ucraino.
Al contrario di altri gruppi legati al Cremlino, Gamaredon non è discreto. Le sue campagne di spionaggio, indirizzate a numerose organizzazioni ucraine, sono facilmente tracciabili al governo russo e si focalizzano su malware che cercano di raccogliere informazioni.
Uno strumento usato da questa organizzazione è un worm informatico progettato per diffondersi attraverso dispositivi USB. Conosciuto come LitterDrifter, il malware è scritto in Visual Basic Scripting.
LitterDrifter mira a diffondersi da un'unità USB all'altra e ad infettare permanentemente i dispositivi che si collegano a queste unità, comunicando costantemente con i server di comando, e controllo, operati da Gamaredon.
Sebbene Gamaredon sia principalmente concentrato su obiettivi ucraini, il worm USB ha infettato alcune periferche in paesi come USA, Vietnam, Cile, Polonia e Germania. Segnali di potenziali infezioni, inoltre, sono stati individuati ad Hong Kong. Le segnalazioni a VirusTotal suggeriscono che le infezioni al di fuori dell'Ucraina siano la metà di quelle nel paese.
I worm, per chi non ne fosse a conoscenza, sono tipi di malware che si diffondono autonomamente e, come il celebre Stuxnet creato dalla NSA degli Stati Uniti, possono diffondersi su larga scala. LitterDrifter, similmente, si diffonde attraverso USB. Il suo modulo di diffusione crea collegamenti nascosti e file coperti da un nome casuale, permettendo al malware di diffondersi.
Le tecniche utilizzate da LitterDrifter, sebbene semplici, sono state efficaci nell'espandere l'infezione oltre l'Ucraina, permettendo al malware di raccogliere dati su vasta scala, sfruttando delle tecniche semplici ma efficienti.