هجوم BadUSB: كيف يتحول كابل USB إلى لوحة مفاتيح
قد يكون أخطر شيء في حقيبتك هو الكابل الذي لا تثق به على الإطلاق. كابل USB، أو ذاكرة فلاش احتياطية، أو الشاحن "المجاني" الذي تركه أحدهم في غرفة الاجتماعات. تبدو جميعها غير ضارة. لكن عند توصيل أحدها، إذا تم تحويله إلى جهاز BadUSB، فسيقوم جهاز الكمبيوتر الخاص بك بشيء غريب في النصف ثانية الأولى: سيتعرف على الكابل كلوحة مفاتيح ويسمح له بالكتابة.
هذه هي الخدعة برمتها. BadUSB ليس فيروسًا يمكنك فحصه، بل هو هجوم إلكتروني يستغل وظائف USB الافتراضية، وهو أحد أكثر أساليب الهجوم خُبثًا في مجال الأمن السيبراني. وبالنسبة لأي شخص يمتلك عملات رقمية، فإن هذا الهجوم الخفي قد يُكلفه خسارة محفظته الرقمية. إليكم كيف يعمل، ولماذا يصعب إيقافه، ولماذا يُعدّ مستخدمو العملات الرقمية الأكثر عرضةً لخطره.
ما هو هجوم BadUSB ولماذا هو خطير؟
كل جهاز USB، بدءًا من ذاكرة فلاش رخيصة الثمن وصولًا إلى كاميرا الويب، يعمل بمعالج دقيق صغير مزود ببرنامج ثابت خاص به. هذا البرنامج الثابت هو ما يُعرّف جهاز الكمبيوتر الخاص بك بأنه "لوحة مفاتيح" أو "وحدة تخزين". هجوم BadUSB يُعيد كتابة هذا البرنامج الثابت ليُظهر الجهاز بصورة خاطئة. ذاكرة الفلاش التي تعتقد أنها مجرد وحدة تخزين تُعيد تعريف نفسها بهدوء على أنها لوحة مفاتيح أو بطاقة شبكة، ويتعامل نظام التشغيل معها على أنها كذلك. بدون أي تنبيه أو تحذير.
لماذا يُعدّ هذا الأمر بالغ الأهمية؟ يكمن السبب في كيفية تعامل أجهزة الكمبيوتر مع لوحات المفاتيح. فلوحة المفاتيح هي جهاز واجهة بشرية، وكل نظام تشغيل يثق تمامًا في مدخلات هذه الأجهزة. إذ يفترض النظام أن شخصًا حقيقيًا يجلس أمامها ويضغط على مفاتيح حقيقية. لذا، فإن أي جهاز USB خبيث ينتحل صفة لوحة مفاتيح يرث كل هذه الثقة، ويبدأ بكتابة الأوامر بسرعة الآلة.
جرس الإنذار لعام 2014
طُرحت الفكرة للعلن في مؤتمر بلاك هات بالولايات المتحدة الأمريكية عام ٢٠١٤، عندما صعد باحثان من مختبرات إس آر، كارستن نول وجاكوب ليل، إلى المنصة وعرضاها. كان عنوان عرضهما مثيرًا للاهتمام: "BadUSB - حول الملحقات التي تتحول إلى أدوات خبيثة". عبارة عن قرص صلب عادي المظهر، تمت إعادة برمجته ليعمل كلوحة مفاتيح، ويستحوذ على جهاز الكمبيوتر دون أن يلاحظ المستخدم أي شيء. بعد أسابيع، نشر آدم كوديل وبراندون ويلسون شفرة استغلال فعّالة في مؤتمر ديربي كون. كانت تلك نقطة التحول. لم يعد BadUSB مجرد خدعة مختبرية، بل أصبح شيئًا يمكن لأي شخص لديه عطلة نهاية أسبوع أن يبنيه.
لماذا لا يمكنك ببساطة إصلاحها؟
هذا هو الجزء الذي لا يزال يُقلق خبراء الأمن. تقبل معظم وحدات تحكم USB تحديثات البرامج الثابتة دون توقيع أو مصادقة. لا يوجد ما يتحقق من أن التحديث صادر عن جهة موثوقة. لذا، لا يكمن الضعف في برنامج واحد به خلل يمكن إصلاحه، بل في نموذج الثقة الخاص بـ USB نفسه.
يقوم برنامج مكافحة الفيروسات بفحص الملفات. أما برنامج BadUSB فلا يحتاج إلى ملف. فالسلوك الخبيث مُدمج في البرامج الثابتة، والهجوم نفسه لا يتطلب سوى ضغطات على لوحة المفاتيح. لا يتم تسجيل أي شيء على القرص ليتم رصده. هكذا يقع حاسوب محمول مُحدّث بالكامل ومحميّ بالكامل ضحية لكابل سعره 200 دولار.
كيف يتم تنفيذ هجوم BadUSB في ثوانٍ
تخيّل التسلسل. تقوم بتوصيل الكابل. يتعرف عليه الحاسوب، ويخبره أنه لوحة مفاتيح، وفي غضون ثانية أو ثانيتين يبدأ بإرسال ضغطات المفاتيح من بيانات مُحمّلة مسبقًا. لا يوجد إنسان يكتب بهذه السرعة. لا أحد يقترب منها.
تقوم حمولة نموذجية بفتح نافذة أوامر مخفية أو موجه أوامر PowerShell، عادةً في مكان لا تراه، ثم تسحب نصًا برمجيًا من الإنترنت وتشغله. يقوم الكابل بكتابة الأوامر، بينما يوفر الإنترنت البرمجية الخبيثة. وبحلول الوقت الذي تُلقي فيه نظرة على الشاشة، يكون كل شيء قد انتهى.
ثانيتان من الكتابة تكفيان لفعل الكثير. افتح نافذة طرفية. أغلق نافذة تنبيه الأمان. افتح أداة الوصول عن بُعد وأضفها إلى قائمة بدء التشغيل لتستمر في العمل بعد إعادة تشغيل الجهاز. في نظام ويندوز، يكفي سطر واحد من أوامر PowerShell لجلب شيفرة من خادم يملكه المهاجم وتشغيلها. ويمكن للبرنامج النصي أن يكون صبورًا. إذ يمكنه الانتظار حتى وقت محدد من اليوم، أو أن يعمل فقط عند فتح قفل الشاشة، بحيث يندمج سيل ضغطات المفاتيح مع ما كنت تفعله بالفعل. ولن يتأثر برنامج مكافحة الفيروسات لديك، لأنه لم يصل أي شيء كملف، بل كمدخلات.
لماذا يستمر هذا في العمل؟ ببساطة. يمكنك تقييد البرامج، ومنع تثبيتها، وتشغيل جميع برامج الفحص المتوفرة في السوق. لكن يُفترض أن لوحة المفاتيح هي أنت. هذا الافتراض هو أساس اللعبة، وبرنامج BadUSB يتغلب عليه بحكم تعريفه.
أدوات BadUSB التي يمكنك شراؤها: من Rubber Ducky إلى Flipper
لسنوات، بدا هذا وكأنه عالم أفلام التجسس. لكن ليس بعد الآن. فالأجهزة الجاهزة تُدخل ضغطات المفاتيح مباشرةً من العلبة، وأسعارها معقولة للغاية.
يُعدّ جهاز USB Rubber Ducky من Hak5 مثالًا كلاسيكيًا: عبارة عن عصا تشبه ذاكرة فلاش، مكتوبة بلغة برمجة بسيطة تُسمى DuckyScript، ومصممة خصيصًا لهذا الغرض. أما Flipper Zero، وهي أداة جيب متعددة الاستخدامات انتشرت بشكل واسع، فتأتي مزودة بخاصية BadUSB مدمجة، ويبلغ سعرها حوالي 169 دولارًا. ثم هناك كابل O.MG، وهو ما يجب أن يُثير قلقك أكثر، لأنه ليس ذاكرة فلاش على الإطلاق، بل هو كابل.
يبدو كابل O.MG مطابقًا تمامًا لكابلات Apple أو USB-C العادية. يخفي بداخله شريحة لاسلكية وواجهة ويب صغيرة يمكن للمستخدم الوصول إليها عبر Wi-Fi. يُرسل الإصدار Elite ما يصل إلى 890 ضغطة مفتاح في الثانية، ويحتوي على مسجل ضغطات مدمج يخزن ما يصل إلى 650,000 ضغطة. في وضع الخمول، يشحن هاتفك وينقل البيانات كأي كابل آخر. لن تلاحظ ذلك أبدًا. هذا هو الهدف.
| أداة | عامل الشكل | سرعة الحقن | التحكم اللاسلكي | السعر التقريبي |
|---|---|---|---|---|
| بطة مطاطية USB | ذاكرة فلاش | سريع (مُبرمج) | لا | حوالي 60 دولارًا |
| فليبر زيرو | أداة جيب متعددة الاستخدامات | سريع (مُبرمج) | محدود | حوالي 169 دولارًا |
| كابل O.MG (النخبة) | كابل ذو مظهر عادي | تصل سرعة الضغط على المفاتيح إلى 890 مفتاحًا/ثانية | نعم (واي فاي) | حوالي 200 دولار |
ولتوضيح ذلك، فإن زرعة مماثلة في الماضي، من النوع الذي يُقال إن وكالات الاستخبارات بنته، كانت تكلف عشرات الآلاف من الدولارات. أما كابل O.MG فيعيد بناء معظم تلك القدرة بسعر وجبة عشاء فاخرة. لقد اختفى عائق الدخول إلى هذا المجال تمامًا.
لماذا يُعدّ حاملو العملات المشفرة هدفًا رئيسيًا لعمليات BadUSB
معظم المقالات تتوقف عند زاوية تكنولوجيا المعلومات في الشركات. أريد أن أتطرق إلى ما هو أبعد من ذلك، لأنه إذا كنت تمتلك عملات مشفرة، فإن نموذج التهديدات لديك يختلف، وبصراحة يكون أسوأ قليلاً.
تبديل الحافظة
لا يحتاج هجوم BadUSB إلى اختراق محفظتك، بل يكفيه تغيير شيء واحد: الحافظة. يقوم البرنامج الخبيث المُدخل بزرع برنامج تجسس على الحافظة في ثوانٍ. بعد ذلك، في كل مرة تنسخ فيها عنوان عملة مشفرة لإرسال الأموال، يقوم البرنامج الخبيث باستبداله بهدوء بعنوان المهاجم. تلصق ما يبدو صحيحًا، ثم تؤكد العملية، فتُحوّل الأموال إلى محفظة شخص غريب.
هذا ليس مجرد كلام نظري. فقد تم ضبط أحد المتسللين وهو يراقب أكثر من مليوني عنوان بيتكوين، ويقوم بتبديل محافظ المهاجمين بشكل فوري. وفي حملة عام 2024 التي أُطلق عليها اسم "GitVenom"، قامت مستودعات برمجيات خبيثة مزيفة بنشر برامج تبديل العناوين، واستولت على ما يقارب 485 ألف دولار من عملة البيتكوين. تكمن خطورة هذه الحيلة في أن عناوين العملات الرقمية عبارة عن سلاسل طويلة وعشوائية لا يقرأها أحد حرفًا حرفًا. تتحقق من الأحرف الأربعة الأولى، ثم من الأحرف الأربعة الأخيرة، إذا تطابقت، تضغط على زر الإرسال. يختبئ التبديل في المنتصف، تحديدًا في المكان الذي لا تقع عليه عينك. والمخاطر جسيمة: فبحسب شركة Chainalysis ، سُرقت عملات رقمية بقيمة 2.2 مليار دولار تقريبًا في عام 2024، وكان اختراق المفاتيح الخاصة وراء 43.8% من هذه الخسائر.
هل توفر لك محفظة الأجهزة الحماية؟
في الغالب، نعم، ومن المهم توضيح السبب. يقوم جهاز Ledger أو Trezor بتأمين عبارة الاسترداد الخاصة بك داخل عنصر آمن. تُنشأ المفاتيح الخاصة هناك ولا تُنقل أبدًا. لا تعبر كابل USB إلا المعاملات الموقعة. لذا، لا يمكن لجهاز BadUSB الذي يُرسل ضغطات عشوائية على المفاتيح أن يُدخل أمرًا ما يسحب عبارة الاسترداد من محفظة أجهزة عاملة. صُممت البنية بأكملها لرفض ذلك تحديدًا.
لكن ثمة ثغرتان حقيقيتان. الأولى هي الهندسة الاجتماعية. ففي عام 2021، أرسل محتالون أجهزة Ledger مزيفة إلى أشخاص سُرّبت عناوين منازلهم في اختراق بيانات Ledger عام 2020. وجاءت الأجهزة المزيفة مصحوبة بملاحظة تطلب من الضحايا كتابة عبارة الاسترداد المكونة من 24 كلمة في تطبيق مرفق، كما ذكر موقع CoinDesk . لا حاجة لأي استغلال للثغرات، فقط غلاف مقنع وقليل من الخوف. أما الثغرة الثانية فهي سلسلة التوريد. فقد أظهر باحثون في Kraken أن الشريحة المسؤولة عن منفذ USB في محفظة الأجهزة، وهي الشريحة المنفصلة عن العنصر الآمن، يُمكن التلاعب بها قبل وصول الجهاز إلى المشتري.
الدرس ليس أن "المحافظ الإلكترونية عديمة الفائدة". إنها الأداة المناسبة، بلا شك. الدرس هو أن نقطة الضعف تكمن فيك: ما تنسخه، وما تكتبه، ومن أين حصلت على جهازك أصلاً.
ما مدى شيوع تهديد USB حقًا؟
قد يميل المرء إلى تصنيف BadUSB على أنه "مثير للاهتمام، ولكنه نادر". لكن البيانات تقول عكس ذلك، على الأقل بالنسبة لتهديد USB الأوسع.
تتتبع شركة الأمن "هانيويل" البرامج الضارة التي يتم اكتشافها في المواقع الصناعية. في تقريرها لعام 2024، وجدت "هانيويل" أن 51% من البرامج الضارة التي رصدتها مصممة للانتشار عبر منافذ USB، مقارنةً بـ 9% فقط في عام 2019. ومن بين هذه البرامج الضارة التي تستهدف USB، يُمكن لـ 82% منها تعطيل العمليات الصناعية. لا تزال منافذ USB تشكل ثغرة أمنية، بل هي ثغرة متنامية.
والعامل البشري هو أسهل جزء يمكن استغلاله. في إحدى الدراسات الشهيرة، قام باحثون من جامعة إلينوي بتوزيع 297 ذاكرة فلاش USB في أرجاء الحرم الجامعي. التقطها الناس ووصلوها، وكان أولها في غضون دقائق. الفضول يخدم المهاجم دون عناء.
| إيجاد | شكل | مصدر | سنة |
|---|---|---|---|
| برمجيات خبيثة تنتشر عبر مواقع OT وتنتشر عبر USB | 51% (ارتفاعاً من 9% في عام 2019) | هانيويل | 2024 |
| هذا البرنامج الخبيث الذي يعمل عبر منفذ USB قادر على تعطيل العمليات | 82% | هانيويل | 2024 |
| سرقة العملات الرقمية، وحصة من اختراق المفتاح الخاص | 2.2 مليار دولار / 43.8% | التحليل المتسلسل | 2024 |
| محركات أقراص USB التي يتم توصيلها والتي تسقط | حوالي النصف، في غضون دقائق | جامعة إلينوي | 2016 |
لكن ثمة ملاحظة هامة. أصدر كل من مكتب التحقيقات الفيدرالي ولجنة الاتصالات الفيدرالية تحذيرات عامة في عام ٢٠٢٣ بشأن "سرقة الطاقة" في محطات شحن الهواتف المحمولة بالمطارات والمراكز التجارية. كانت تلك التحذيرات احترازية، ولم تظهر أي حالة مؤكدة على نطاق واسع. مع ذلك، فإن نقطة الضعف التي يشيرون إليها، وهي منفذ الشحن الذي ينقل البيانات أيضًا، هي تحديدًا ما يستغله برنامج BadUSB. ليس المقصود هنا وجود كابل مفخخ في كل مطار، بل أن منفذ USB نفسه ينقل الطاقة والبيانات عبر نفس الدبابيس، لذا فإن أي منفذ لا يمكنك فحصه لا يمكنك الوثوق به تمامًا.
كيفية منع هجمات BadUSB وحماية العملات المشفرة
والخبر السار؟ إنّ الوقاية من هجمات BadUSB رخيصة في الغالب وتعتمد على تغيير السلوك. لا تحتاج إلى برامج معقدة بقدر ما تحتاج إلى عادة جديدة.
- لا تقم بتوصيل أي جهاز أو كابل USB لم تشتره بنفسك أو لا تثق به تمامًا. سواءً كان هدية من المؤتمر، أو قرص تخزين وجدته في موقف السيارات، أو كابلًا مستعارًا، فهذه كلها تشكل خطرًا. تعامل معها كما تتعامل مع إبرة شخص غريب.
- احمل معك جهازًا لحجب بيانات منفذ USB، يُطلق عليه أحيانًا اسم "واقي USB"، لشحن جهازك في الأماكن العامة. يقوم هذا الجهاز بقطع دبابيس البيانات فعليًا، ويسمح بمرور الطاقة فقط، مما يمنع سرقة البيانات عبر منفذ USB أو حقن ضغطات المفاتيح.
- فيما يخص العملات الرقمية تحديدًا، تأكد دائمًا من التحقق من عنوان الاستلام الكامل على شاشة محفظة الأجهزة قبل الموافقة على أي شيء. هذه العادة البسيطة تُفشل عملية تبديل الحافظة، لأن العنوان الموجود على الجهاز الموثوق لن يتطابق مع العنوان الذي أدخله البرنامج الخبيث.
- اشترِ محافظ الأجهزة مباشرة من الشركة المصنعة، ولا تشتريها أبدًا من بائع تجزئة تابع لجهة خارجية أو من شخص غريب، ولا تثق أبدًا بجهاز يظهر فجأة دون سابق إنذار.
- على مستوى الأجهزة الطرفية، يمكن لأدوات التحكم في أجهزة USB، وقوائم السماح لـ HID، وأدوات إدارة الأجهزة الطرفية، منع لوحات المفاتيح غير المعروفة من الاتصال نهائيًا. أما على الأجهزة الشخصية، فتُغلق ميزات مثل تنبيه "السماح للملحقات بالاتصال" من Apple، أو إعداد إيقاف تشغيل USB أثناء قفل الشاشة في Android، الباب نفسه.
لا شيء من هذه الأشياء غريب. إنها النسخة الرقمية من الامتناع عن تناول الطعام الذي يقدمه لك شخص غريب في الشارع.
الخلاصة حول BadUSB وأمان USB
إن مشكلة BadUSB مقلقة تحديدًا لأنها تبدو عادية جدًا. لا حاجة لثغرة أمنية غير معروفة، ولا تتطلب عبقرية، بل مجرد افتراض بسيط بقيمة 5 دولارات بأن الكابل مجرد كابل ولوحة المفاتيح مجرد أنت. هذا الافتراض خاطئ، والمعدات اللازمة لإثبات خطئه تكلف الآن تقريبًا نفس سعر الهاتف الذي تشحنه.
بالنسبة لحاملي العملات الرقمية، لا يتطلب الحل جنون ارتياب، بل انضباطًا فقط. تحقق من العناوين على شاشة الجهاز، وليس على الكمبيوتر. اشترِ أجهزتك مباشرةً. وفي المرة القادمة التي يعرض عليك فيها أحدهم كابلًا لم تحضره معك، اسأل نفسك ما الذي قد يكون هذا الكابل يستخدمه. ما الذي كنت ستوصله به اليوم دون تردد؟
