USB-устройства для атаки на компьютер – угроза может быть в каждом

Россия+7 (910) 990-43-11
Обновлено: 2021-11-07

USB-устройства являются основным источником вредоносного ПО в промышленных системах управления, – говорит Лука Бонджорни из Bentley Systems на #TheSAS2019. Большинство людей, которые каким-либо образом связаны с зоной безопасности, знают традиционную историю флешек, «случайно» оставленных на парковках, что наглядно демонстрирует проблему, которую мы повторим не раз.

В другой, также реальной истории, связанной с USB-накопителем, работник промышленного предприятия хотел посмотреть La La Land, поэтому загрузил фильм на флэш-диск во время перерыва на завтрак. Таким образом, была заражена изолированная система на атомной электростанции – эта история показывает, что предотвратить такие инциденты несложно.

Внимательное изучение зашифрованного USB-диска

Однако люди забывают, что USB-устройства – это не только флэш-диски. Периферийные устройства, используемые для ввода информации в компьютер, такие как клавиатуры и мыши, а также кабели для зарядки смартфонов, украшения рабочего стола и термокружки, также могут быть модифицированы для атаки на промышленные системы управления.

Краткая история оружия в виде USB-устройств

Манипулируемые USB-устройства не новы. Первые случаи их использования были зафиксированы уже в 2010 году. Используя небольшую программируемую плату Teensy и разъём USB, злоумышленники имитировали периферийные устройства, например, нажатия клавиш на компьютере. Хакеры быстро поняли, что такие устройства могут быть полезны для тестирования на проникновение, и подготовили версию, которая позволила бы создавать новых пользователей, запускать программы с установкой бэкдоров и внедрять вредоносные программы, копируя их или загружая с определенной веб-страницы.

В качестве первого модифицированного варианта крохотных плат использовалось устройство PHUKD. Затем появился Kautilya, который сотрудничал с популярными платами Arduino. Затем появилось устройство Rubberducky – вероятно, самый известный USB-инструмент, имитирующий нажатия клавиш в сериале «Мистер Робот» и не отличающийся от обычного Pendrive. Более универсальное устройство под названием Bash Bunny использовалось для атак на банкоматы.

Создатель устройства PHUKD быстро придумал идею создания зараженной мыши, содержащей плату для тестирования на проникновение: в дополнение к функциональности обычной мыши, она может делать всё, что может делать устройство PHUKD. С точки зрения социальной инженерии, использование периферийных устройств для проникновения в системы может быть проще, чем использование отдельных USB-устройств, поскольку даже те, кто знает, что не могут подключить неизвестные диски к своим компьютерам, обычно не подозревают, что клавиатура или мышь могут быть заражены.

Второе поколение зараженных USB-устройств было создано в 2014-2015 годах и включало устройства, использующие печально известную ошибку BadUSB. Также стоит упомянуть об угрозах TURNIPSCHOOL и Cottonmouth, предположительно созданных агентством внутренней разведки США АНБ: эти устройства были настолько малы, что их можно было хранить в USB-кабеле и использовать для захвата данных с компьютеров (включая компьютеры, не подключенные к какой-либо сети).

Современные зараженные USB-устройства

Третье поколение USB-инструментов для тестирования на проникновение перевело их на совершенно новый уровень. Одним из таких инструментов является WHID Injector – в основном, он такой же, как Rubberducky, но дополнительно имеет возможность устанавливать беспроводное соединение. Поскольку это устройство содержит модуль Wi-Fi, его не нужно предварительно программировать; хакер может управлять им удаленно, что даёт ему большую гибкость и возможность работать с различными операционными системами. Другим инструментом третьего поколения является P4wnP1, который использует компьютер Raspberry Pi и представляет собой расширенную версию платформы Bash Bunny, оснащенную дополнительными функциями, включая беспроводное соединение.

Конечно, устройства WHID Injector и Bash Bunny достаточно малы, чтобы поместиться в клавиатуру или мышь.

Устройства USB небольшого размера, такие как упомянутые выше, также можно запрограммировать, чтобы они напоминали периферийные устройства, благодаря чему они смогут обходить систему безопасности в компаниях, которые используют мыши и клавиатуры только от определенных производителей. Такие инструменты, как WHID Injector, также могут быть оснащены микрофоном для прослушивания и слежки за объектом.

Что ещё хуже, одного такого устройства достаточно, чтобы взломать всю сеть – если она не была должным образом разделена на сегменты.

Как защитить системы от заражения USB-устройствами

Зараженные мыши и клавиатуры, а также кабели, используемые для шпионажа или осуществления вредоносных действий, представляют серьезную угрозу и могут использоваться для взлома даже тех систем, которые изолированы от интернета. Сегодня почти каждый человек может купить и запрограммировать инструменты, которые помогут реализовать такую атаку, поэтому стоит следить за событиями из мира киберугроз.

Чтобы защитить критически важную инфраструктуру от таких угроз, стоит использовать множество защитных слоев:

  • Прежде всего, обеспечьте физическую безопасность, чтобы посторонние лица не могли подключать USB-устройства к промышленным системам управления. Кроме того, заблокируйте физически неиспользуемые USB-порты в таких системах и устраните возможность удаления периферийных устройств, которые уже используются.
  • Организуйте обучение сотрудников, чтобы они знали о различных типах угроз, включая зараженные USB-инструменты (расскажите об инциденте, в котором сотрудник атомной электростанции хотел посмотреть фильм «La La Land»).
  • Разделите сеть на соответствующие сегменты и управляйте доступными разрешениями, чтобы заблокировать злоумышленникам доступ к критическим системам управления инфраструктурой.
  • Каждая система на объекте должна быть защищена защитными продуктами, способными обнаруживать любые виды угроз. Технология Kaspersky Endpoint Security не авторизует периферийное устройство, пока пользователь не введет код, используя устройство, которое уже имеет такую авторизацию.

5.0/2