s0136-usbstealer - RunkIntel

# USBStealer > Tipo: **malware** · S0136 · [MITRE ATT&CK](https://attack.mitre.org/software/S0136) ## Descrição [[s0136-usbstealer|USBStealer]] é um malware utilizado pelo [[g0007-apt28|APT28]] (Fancy Bear/GRU) desde pelo menos 2005 para extrair informações de redes com air-gap. Não possui capacidade de comunicação pela Internet e é utilizado em conjunto com o [[s0045-advstoreshell|ADVSTORESHELL]], formando um sistema de exfiltração em duas etapas: o USBStealer coleta dados em sistemas isolados, enquanto uma ferramenta com acesso à internet recupera e transmite os dados coletados. O funcionamento do USBStealer é baseado na automatização completa da coleta: o malware monitora a inserção de dispositivos USB, replica-se para o dispositivo, coleta automaticamente arquivos de extensões pré-configuradas de sistemas air-gapped e os armazena no USB de forma criptografada. O timestomping (modificação de timestamps) garante que a presença dos arquivos coletados no USB passe despercebida por análises forenses básicas. O malware usa nomes de arquivo que imitam recursos legítimos do sistema para evitar suspeita. Esta ferramenta demonstra o investimento de longo prazo do [[g0007-apt28|APT28]] em capacidades de coleta contra alvos de alta segurança que operam redes desconectadas da internet - um perfil de alvo típico de governos, forças armadas e infraestruturas críticas classificadas. O histórico de uso desde 2005 reflete a durabilidade da técnica de air-gap bridging via USB como vetor de espionagem eficaz. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1052-001-exfiltration-over-usb|T1052.001 - Exfiltration over USB]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1092-communication-through-removable-media|T1092 - Commúnication Through Removable Media]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Detecção A detecção do USBStealer em ambientes air-gapped requer controles físicos e lógicos: políticas de bloqueio de USB via GPO, monitoramento de eventos de inserção de dispositivos (Event ID 20001 no Windows), auditoria de replicação de arquivos executáveis para mídia removível e análise de modificações de timestamps (timestomping) em arquivos. Ferramentas de DLP (Data Loss Prevention) configuradas para monitorar transferências de dados para USB são essenciais em ambientes que lidam com informações sensíveis. ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] (GRU russo) realiza operações de espionagem globalmente, com foco em governo, defesa e organizações políticas. Instalações governamentais e militares brasileiras que operam redes classificadas com air-gap devem considerar o USBStealer como referência de ameaça ao desenvolver políticas de controle de dispositivos removíveis. A política de uso de pendrives em ambientes sensíveis deve ser estritamente controlada e auditada, com rastreabilidade completa de dispositivos autorizados. ## Referências - [MITRE ATT&CK - S0136](https://attack.mitre.org/software/S0136)