USB an toàn là thiết bị được sử dụng, thiết kế hoặc cấu hình để cung cấp các tính năng bảo đảm an toàn dữ liệu lưu trữ, nhằm bảo vệ dữ liệu trên ổ đĩa USB trước các rủi ro mất mát hoặc truy cập trái phép.

Hiện nay, nhu cầu sử dụng thiết bị USB an toàn trở nên phổ biến trong các tổ chức, doanh nghiệp, các cơ quan, đơn vị Nhà nước. Tuy nhiên, đây cũng là mục tiêu hấp dẫn của tin tặc, bởi giá trị mà dữ liệu thiết bị này lưu trữ. Nhiều nguy cơ tấn công nhắm vào các thiết bị lưu trữ USB nhằm phát tán mã độc, chiếm quyền điều khiển và đánh cắp dữ liệu. Trong đó, hình thức phát tán mã độc hại thông qua USB an toàn là một trong những phương thức chính mà tin tặc sử dụng để tấn công vào các hệ thống mạng nội bộ, các mạng dùng riêng.

Thông qua theo dõi, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp đánh cắp dữ liệu trên không gian mạng, do một nhóm tin tặc chưa được biết đến trước đây thực hiện. Được đặt tên là TetrisPhantom, nhóm tin tặc này thực hiện theo dõi và thu thập dữ liệu nhạy cảm từ các tổ chức chính phủ các nước APAC. TetrisPhantom sử dụng nhiều kỹ thuật phức tạp để tấn công vào các thiết bị lưu trữ USB an toàn - những thiết bị vốn được bảo vệ bằng cơ chế mã hóa phần cứng để đảm bảo lưu trữ và truyền dữ liệu an toàn giữa các hệ thống máy tính.

Tuy nhiên, không chỉ các thiết bị USB an toàn được các tổ chức chính phủ sử dụng, mà các sản phẩm USB thương mại cũng là mục tiêu tấn công của nhóm tin tặc.

Trong chiến dịch này, nhóm TetrisPhantom đã xây dựng và phát triển loại mã độc tinh vi, bao gồm nhiều mô-đun độc hại khác nhau. Thông qua mã độc này, tin tặc có thể tấn công, thể chiếm quyền kiểm soát toàn bộ thiết bị USB an toàn của người dùng.

TetrisPhantom sử dụng 2 mô-đun mã độc chính để tấn công nhắm vào các thiết bị lưu trữ USB an toàn, cụ thể:

Thứ nhất, Mô-đun XMKR được thiết kế để phát tán mã độc hại thông qua thiết bị lưu trữ USB an toàn. Tin tặc tiêm mã độc hại này vào thiết bị USB. Khi lây nhiễm thành công, mã độc này sẽ tự động phát tán lên máy tính mà USB kết nối.

Mô-đun mã độc thứ hai là exportUSB, được sử dụng để đánh cắp dữ liệu trên trên phân vùng được bảo vệ của USB an toàn. ExportUSB được thiết kế sử dụng các lệnh giao tiếp, điều khiển ở mức thấp (SPTI - SCSI Pass Through Interface; IOCTL_SCSI_PASS_THROUGH_DIRECT IOCTL IOCTL; SCSI READ or SCSI WRITE…). Hai mô-đun mã độc này cho phép tin tặc thực thi các lệnh từ xa, thu thập tệp và thông tin từ các máy tính và USB, từ đó đánh cắp các thông tin dữ liệu và chuyển về máy chủ điều khiển và ra lệnh (C2) của tin tặc.

Để phòng tránh, giảm thiểu các nguy cơ tấn công vào các thiết bị lưu trữ dữ liệu, các cơ quan, đơn vị cần thực hiện nghiêm các quy định về sử dụng USB trong việc lưu trữ; thường xuyên cập nhật, sử dụng các giải pháp an toàn thông tin trong hệ thống. Đối với người dùng cuối cần khẩn trương cài đặt và cập nhật các giải pháp phòng chống virus tiên tiến hiện nay.