Επίθεση BadUSB: Πώς ένα καλώδιο USB γίνεται πληκτρολόγιο
Το πιο επικίνδυνο πράγμα στην τσάντα σας μπορεί να είναι το καλώδιο που εμπιστεύεστε λιγότερο. Ένα καλώδιο USB, μια εφεδρική μονάδα flash, ο «δωρεάν» φορτιστής που κάποιος άφησε σε μια αίθουσα συσκέψεων. Όλα φαίνονται ακίνδυνα. Συνδέστε ένα, όμως, και αν έχει μετατραπεί σε συσκευή BadUSB, ο υπολογιστής σας κάνει κάτι περίεργο στο πρώτο μισό του δευτερολέπτου: υποδέχεται το καλώδιο ως πληκτρολόγιο και τον αφήνει να αρχίσει να πληκτρολογεί.
Αυτό είναι όλο το κόλπο. Το BadUSB δεν είναι ένας ιός που μπορείτε να ανιχνεύσετε. Είναι μια κυβερνοεπίθεση που καταχράται αυτό που επιτρέπεται να κάνει το USB από προεπιλογή, ένας από τους πιο ύπουλους φορείς επίθεσης σε όλη την κυβερνοασφάλεια. Και για όποιον κατέχει κρυπτονομίσματα, αυτή η σιωπηλή πληκτρολόγηση μπορεί να σας κοστίσει αθόρυβα ένα πορτοφόλι. Δείτε πώς λειτουργεί, γιατί είναι τόσο δύσκολο να το σταματήσετε και γιατί οι χρήστες κρυπτονομισμάτων βρίσκονται ακριβώς στην ακτίνα της έκρηξης.
Τι είναι μια επίθεση BadUSB και γιατί είναι επικίνδυνη
Κάθε συσκευή USB, από μια μονάδα flash USB αξίας 3 δολαρίων μέχρι μια κάμερα web, λειτουργεί με έναν μικροσκοπικό μικροελεγκτή με το δικό της υλικολογισμικό. Αυτό το υλικολογισμικό είναι που λέει στον υπολογιστή σας "Είμαι ένα πληκτρολόγιο" ή "Είμαι ο χώρος αποθήκευσης". Μια επίθεση BadUSB το ξαναγράφει έτσι ώστε η συσκευή να λέει ψέματα. Η μονάδα flash που νομίζετε ότι είναι απλώς χώρος αποθήκευσης επαναπροσδιορίζεται αθόρυβα ως πληκτρολόγιο ή κάρτα δικτύου και το λειτουργικό σύστημα το παίρνει αυτό που λέει. Χωρίς προτροπή. Χωρίς προειδοποίηση.
Γιατί έχει τόση σημασία αυτό; Λόγω του τρόπου με τον οποίο οι υπολογιστές αντιμετωπίζουν τα πληκτρολόγια. Ένα πληκτρολόγιο είναι μια συσκευή ανθρώπινης διεπαφής και κάθε λειτουργικό σύστημα εμπιστεύεται πλήρως την είσοδο HID. Υποθέτει ότι ένα πραγματικό άτομο κάθεται εκεί και πατάει πραγματικά πλήκτρα. Έτσι, μια κακόβουλη συσκευή USB που παρουσιάζεται ως πληκτρολόγιο κληρονομεί όλη αυτή την εμπιστοσύνη και αρχίζει να πληκτρολογεί εντολές με την ταχύτητα του μηχανήματος.
Το κάλεσμα αφύπνισης του 2014
Η ιδέα δημοσιοποιήθηκε στο Black Hat USA 2014, όταν δύο ερευνητές των SR Labs, ο Karsten Nohl και ο Jakob Lell, ανέβηκαν στη σκηνή και την παρουσίασαν. Η ομιλία τους είχε έναν εξαιρετικό τίτλο: "BadUSB — Σχετικά με τα αξεσουάρ που γίνονται κακά". Ένας κανονικός δίσκος, επαναπρογραμματισμένος να λειτουργεί ως πληκτρολόγιο, που καταλαμβάνει ένα μηχάνημα ενώ ο χρήστης δεν έβλεπε τίποτα απολύτως. Εβδομάδες αργότερα, ο Adam Caudill και ο Brandon Wilson δημοσίευσαν λειτουργικό κώδικα εκμετάλλευσης στο DerbyCon. Αυτό ήταν το σημείο καμπής. Το BadUSB έπαψε να είναι ένα εργαστηριακό κόλπο και έγινε κάτι που μπορούσε να κατασκευάσει οποιοσδήποτε με ένα ελεύθερο Σαββατοκύριακο.
Γιατί δεν μπορείς απλώς να το διορθώσεις
Να το σημείο που εξακολουθεί να ενοχλεί τους υπεύθυνους ασφαλείας. Οι περισσότεροι ελεγκτές USB δέχονται νέο υλικολογισμικό χωρίς υπογραφή κώδικα και καθόλου έλεγχο ταυτότητας. Τίποτα δεν ελέγχει ότι η ενημέρωση προήλθε από κάποιον που πρέπει να εμπιστευτείτε. Επομένως, η αδυναμία δεν είναι ένα πρόγραμμα με σφάλματα που μπορείτε να ενημερώσετε. Βρίσκεται στο ίδιο το μοντέλο εμπιστοσύνης USB.
Το antivirus σας σαρώνει αρχεία. Το BadUSB δεν χρειάζεται αρχείο. Η κακόβουλη συμπεριφορά είναι ενσωματωμένη στο firmware και η ίδια η επίθεση αποτελείται απλώς από πληκτρολογήσεις. Τίποτα δεν εμφανίζεται στον δίσκο για να επισημανθεί. Έτσι, ένας πλήρως ενημερωμένος, πλήρως προστατευμένος φορητός υπολογιστής εξακολουθεί να υποφέρει από ένα καλώδιο των 200 δολαρίων.
Πώς εξελίσσεται μια επίθεση BadUSB σε δευτερόλεπτα
Φανταστείτε την ακολουθία. Συνδέετε το καλώδιο. Απαριθμεί, λέγοντας στον υπολογιστή ότι είναι πληκτρολόγιο, και μέσα σε ένα ή δύο δευτερόλεπτα αρχίζει να πληκτρολογεί από ένα φορτίο που ο χειριστής έχει φορτώσει εκ των προτέρων. Κανένας άνθρωπος δεν πληκτρολογεί τόσο γρήγορα. Κανείς δεν πλησιάζει.
Ένα τυπικό payload ανοίγει ένα κρυφό παράθυρο εντολών ή μια προτροπή PowerShell, συνήθως κάπου που δεν το βλέπετε ποτέ, τραβάει ένα σενάριο από το διαδίκτυο και το εκτελεί. Το καλώδιο κάνει την πληκτρολόγηση. Το διαδίκτυο παρέχει το κακόβουλο λογισμικό. Μέχρι να ρίξετε μια ματιά στην οθόνη, έχει ήδη γίνει.
Δύο δευτερόλεπτα πληκτρολόγησης είναι αρκετά. Ανοίξτε ένα τερματικό. Κλείστε μια ερώτηση ασφαλείας. Τραβήξτε προς τα κάτω ένα εργαλείο απομακρυσμένης πρόσβασης και τοποθετήστε το στην εκκίνηση, ώστε να επιβιώσει από μια επανεκκίνηση. Στα Windows, μία μόνο γραμμή PowerShell είναι αρκετή για να αρπάξει κώδικα από έναν διακομιστή που κατέχει ο εισβολέας και να τον εκτελέσει. Και το σενάριο μπορεί να είναι υπομονετικό. Μπορεί να περιμένει για μια συγκεκριμένη ώρα της ημέρας ή να ενεργοποιείται μόνο όταν η οθόνη είναι ξεκλείδωτη, έτσι ώστε η ριπή των πληκτρολογήσεων να ενσωματώνεται σε ό,τι κάνατε ήδη. Το antivirus σας δεν πτοείται ποτέ, επειδή τίποτα δεν έφτασε ως αρχείο. Έφτασε ως είσοδος.
Γιατί αυτό συνεχίζει να λειτουργεί; Απλό. Μπορείτε να κλειδώσετε λογισμικό, να περιορίσετε εγκαταστάσεις, να εκτελέσετε κάθε σαρωτή στην αγορά. Αλλά ένα πληκτρολόγιο θεωρείται ότι είστε εσείς. Αυτή η μία υπόθεση είναι το παν και το BadUSB το ξεπερνά εξ ορισμού.
Εργαλεία BadUSB που μπορείτε να αγοράσετε: Από καουτσούκ σε πτερύγιο
Για χρόνια αυτό έμοιαζε με πεδίο δράσης ταινιών κατασκοπείας. Όχι πια. Ο έτοιμος εξοπλισμός κάνει ψεκασμό με το πάτημα του κουμπιού κατευθείαν από τη συσκευασία και οι τιμές είναι βαρετά φυσιολογικές.
Το USB Rubber Ducky από το Hak5 είναι το κλασικό: ένα στικάκι που μοιάζει με μονάδα flash, γραμμένο σε μια απλή γλώσσα που ονομάζεται DuckyScript, κατασκευασμένο ακριβώς για αυτό. Το Flipper Zero, ένα πολυεργαλείο τσέπης που έγινε viral, διαθέτει ενσωματωμένη λειτουργία BadUSB και πωλείται για περίπου 169 δολάρια. Και μετά υπάρχει το καλώδιο O.MG, το οποίο είναι αυτό που θα πρέπει να σας ανησυχεί περισσότερο, επειδή δεν είναι καθόλου μονάδα δίσκου. Είναι καλώδιο.
Το καλώδιο O.MG μοιάζει με ένα κανονικό καλώδιο Apple ή USB-C. Στο εσωτερικό του κρύβεται ένα ασύρματο τσιπ και μια μικρή διαδικτυακή διεπαφή, την οποία ο χειριστής συνδέει μέσω Wi-Fi. Η έκδοση Elite πληκτρολογεί έως και 890 φορές το δευτερόλεπτο και διατηρεί ενσωματωμένο keylogger που χωράει έως και 650.000. Όταν παραμένει αδρανές, φορτίζει το τηλέφωνό σας και μεταφέρει δεδομένα όπως οποιοδήποτε άλλο καλώδιο. Δεν θα το καταλάβετε ποτέ. Αυτό είναι όλο το νόημα.
| Εργαλείο | Παράγοντας μορφής | Ταχύτητα έγχυσης | Ασύρματος έλεγχος | Προσεγγιστική τιμή |
|---|---|---|---|---|
| USB Rubber Ducky | Στικ μονάδας flash | Γρήγορο (σεναριακά) | Οχι | ~60$ |
| Φλίπερ Μηδέν | Πολυεργαλείο τσέπης | Γρήγορο (σεναριακά) | Περιωρισμένος | ~169 δολάρια |
| Καλώδιο O.MG (Elite) | Καλώδιο κανονικής εμφάνισης | Έως 890 πλήκτρα/δευτερόλεπτο | Ναι (Wi-Fi) | ~200 δολάρια |
Για να το θέσουμε σε προοπτική, ένα παρόμοιο εμφύτευμα στο παρελθόν, το είδος που φέρεται να κατασκευάστηκε από υπηρεσίες πληροφοριών, κόστιζε δεκάδες χιλιάδες δολάρια. Το καλώδιο O.MG ανακατασκευάζει το μεγαλύτερο μέρος αυτής της δυνατότητας στην τιμή ενός ωραίου δείπνου. Το εμπόδιο εισόδου έχει ουσιαστικά εξαφανιστεί.
Γιατί οι κάτοχοι κρυπτονομισμάτων αποτελούν βασικό στόχο BadUSB
Τα περισσότερα άρθρα σταματούν στην εταιρική οπτική γωνία της πληροφορικής. Θέλω να πάω εκεί που δεν το κάνουν, γιατί αν έχεις κρυπτονομίσματα, το μοντέλο απειλής σου είναι διαφορετικό και, ειλικρινά, λίγο χειρότερο.
Η εναλλαγή του προχείρου
Μια επίθεση BadUSB δεν χρειάζεται να σπάσει το πορτοφόλι σας. Πρέπει να αλλάξει μόνο ένα πράγμα: το πρόχειρό σας. Το εισαγόμενο ωφέλιμο φορτίο ρίχνει έναν αεροπειρατή στο πρόχειρο σε δευτερόλεπτα. Μετά από αυτό, κάθε φορά που αντιγράφετε μια κρυπτογραφική διεύθυνση για να στείλετε χρήματα, το κακόβουλο λογισμικό αλλάζει αθόρυβα τη διεύθυνση του εισβολέα. Επικολλάτε αυτό που φαίνεται σωστό. Επιβεβαιώνετε. Τα χρήματα καταλήγουν στο πορτοφόλι ενός αγνώστου.
Αυτό δεν είναι θεωρητικό. Ένας αεροπειρατής clipboard πιάστηκε να παρακολουθεί περισσότερες από δύο εκατομμύρια διευθύνσεις Bitcoin, ανταλλάσσοντας πορτοφόλια εισβολέων εν κινήσει. Σε μια εκστρατεία του 2024 με το παρατσούκλι GitVenom, ψεύτικα αποθετήρια κώδικα έστειλαν κακόβουλο λογισμικό ανταλλαγής διευθύνσεων και άρπαξαν περίπου 485.000 δολάρια σε Bitcoin. Το κόλπο είναι άσχημο επειδή οι κρυπτογραφικές διευθύνσεις είναι μεγάλες, τυχαίες συμβολοσειρές που κανείς δεν διαβάζει στην πραγματικότητα χαρακτήρα προς χαρακτήρα. Ελέγχετε τις τέσσερις πρώτες, ελέγχετε τις τέσσερις τελευταίες, ταιριάζουν, πατάτε αποστολή. Η ανταλλαγή κρύβεται στη μέση, ακριβώς εκεί που δεν πηγαίνουν ποτέ τα μάτια σας. Και τα διακυβεύματα είναι τεράστια: σύμφωνα με την Chainalysis , περίπου 2,2 δισεκατομμύρια δολάρια σε κρυπτονομίσματα κλάπηκαν το 2024, με την παραβίαση ιδιωτικού κλειδιού να ευθύνεται για το 43,8% αυτών των απωλειών.
Σας σώζει ένα πορτοφόλι υλικού;
Ως επί το πλείστον, ναι, και αξίζει να διευκρινιστεί το γιατί. Ένα Ledger ή ένα Trezor κλειδώνει τη φράση εκκίνησης (seed phrase) μέσα σε ένα Secure Element. Τα ιδιωτικά κλειδιά γεννιούνται εκεί και δεν φεύγουν ποτέ. Μόνο μια υπογεγραμμένη συναλλαγή διασχίζει ποτέ το καλώδιο USB. Έτσι, μια συσκευή BadUSB που πληκτρολογεί με πληκτρολόγηση δεν μπορεί απλώς να πληκτρολογήσει κάποια εντολή που αποσπά την seed σας από ένα λειτουργικό πορτοφόλι υλικού. Ολόκληρη η αρχιτεκτονική έχει σχεδιαστεί για να αρνείται ακριβώς αυτό.
Υπάρχουν όμως δύο πραγματικά κενά. Το πρώτο είναι η κοινωνική μηχανική. Το 2021, απατεώνες έστειλαν ψεύτικες συσκευές Ledger σε άτομα των οποίων οι οικιακές διευθύνσεις είχαν διαρρεύσει στην παραβίαση δεδομένων της Ledger το 2020. Το πλαστό υλικό στάλθηκε με ένα σημείωμα που έλεγε στα θύματα να πληκτρολογήσουν τη φράση εκκίνησης 24 λέξεων σε μια ενσωματωμένη εφαρμογή, όπως ανέφερε το CoinDesk . Δεν απαιτείται εκμετάλλευση. Μόνο ένα πειστικό πακέτο και λίγος φόβος. Το δεύτερο κενό είναι η αλυσίδα εφοδιασμού. Ερευνητές στο Kraken έδειξαν ότι το τσιπ που χειρίζεται το USB σε ένα πορτοφόλι υλικού, αυτό που είναι ξεχωριστό από το Secure Element, θα μπορούσε να παραβιαστεί πριν καν η συσκευή φτάσει στον αγοραστή.
Το μάθημα δεν είναι ότι «τα hardware wallets είναι άχρηστα». Είναι το σωστό εργαλείο, τελεία και παύλα. Το μάθημα είναι ότι το αδύναμο σημείο μετακινείται σε εσάς: τι αντιγράφετε, τι πληκτρολογείτε και από πού προήλθε η συσκευή σας εξαρχής.
Πόσο συχνή είναι στην πραγματικότητα η απειλή USB;
Είναι δελεαστικό να κατατάξουμε το BadUSB στην κατηγορία «ενδιαφέρον, αλλά σπάνιο». Τα δεδομένα λένε το αντίθετο, τουλάχιστον για την ευρύτερη απειλή των USB.
Η εταιρεία ασφαλείας Honeywell παρακολουθεί κακόβουλο λογισμικό που εντοπίζεται σε βιομηχανικές εγκαταστάσεις. Στην έκθεσή της για το 2024, η Honeywell διαπίστωσε ότι το 51% του κακόβουλου λογισμικού που εντόπισε είχε σχεδιαστεί για να εξαπλώνεται μέσω USB, από μόλις 9% το 2019. Από αυτό το κακόβουλο λογισμικό USB, το 82% θα μπορούσε να διαταράξει τις βιομηχανικές λειτουργίες. Το USB δεν είναι μια νεκρή επιφάνεια επίθεσης. Είναι μια αναπτυσσόμενη.
Και ο ανθρώπινος παράγοντας είναι το πιο εύκολο κομμάτι που μπορεί κανείς να εκμεταλλευτεί. Σε μια γνωστή μελέτη, ερευνητές από το Πανεπιστήμιο του Ιλινόις διασκόρπισαν 297 μονάδες USB σε μια πανεπιστημιούπολη. Οι άνθρωποι τις πήραν και τις σύνδεσαν, ο πρώτος μέσα σε λίγα λεπτά. Η περιέργεια κάνει τη δουλειά του εισβολέα δωρεάν.
| Εύρεση | Εικόνα | Πηγή | Ετος |
|---|---|---|---|
| Κακόβουλο λογισμικό σε ιστότοπους OT που εξαπλώνεται μέσω USB | 51% (αύξηση από 9% το 2019) | Χάνιγουελ | 2024 |
| Αυτό το κακόβουλο λογισμικό USB μπορεί να διαταράξει τις λειτουργίες | 82% | Χάνιγουελ | 2024 |
| Κλοπή κρυπτονομισμάτων, μετοχή από παραβίαση ιδιωτικού κλειδιού | 2,2 δισεκατομμύρια δολάρια / 43,8% | Αλυσιδωτή ανάλυση | 2024 |
| Πεσμένες μονάδες USB που συνδέονται | Περίπου τα μισά, μέσα σε λίγα λεπτά | Πανεπιστήμιο του Ιλινόις | 2016 |
Μια ειλικρινής προειδοποίηση εδώ. Το FBI και η FCC εξέδωσαν δημόσιες προειδοποιήσεις το 2023 σχετικά με την «υπόκλιση από ιούς» σε σταθμούς φόρτισης αεροδρομίων και εμπορικών κέντρων. Αυτές οι προειδοποιήσεις ήταν προληπτικές και δεν έχει εμφανιστεί κανένα μεγάλο επιβεβαιωμένο κρούσμα δημόσια. Ωστόσο, η αδυναμία που επισημαίνουν, μια θύρα φόρτισης που μπορεί επίσης να μεταφέρει δεδομένα, είναι ακριβώς αυτό που καταχράται η BadUSB. Το θέμα δεν είναι ότι ένα καλώδιο παγιδευμένο σε εκρηκτικά περιμένει σε κάθε αεροδρόμιο. Είναι ότι η ίδια θύρα USB μεταφέρει ενέργεια και δεδομένα στις ίδιες ακίδες, επομένως μια θύρα που δεν μπορείτε να ελέγξετε είναι μια θύρα που δεν μπορείτε να εμπιστευτείτε πλήρως.
Πώς να αποτρέψετε επιθέσεις BadUSB και να προστατεύσετε τα κρυπτονομίσματα
Τα καλά νέα; Η πρόληψη επιθέσεων BadUSB είναι ως επί το πλείστον φθηνή και συμπεριφορική. Δεν χρειάζεστε τόσο φανταχτερό λογισμικό όσο μια νέα συνήθεια.
- Μην συνδέεις καμία συσκευή USB ή καλώδιο που δεν αγόρασες μόνος σου ή που δεν μπορείς να εμπιστευτείς πλήρως. Η προσφορά στο συνέδριο, ο δίσκος που βρήκες στο πάρκινγκ, το καλώδιο που δανείστηκες, αυτά είναι η απειλή. Φερσου τους όπως θα φερόσουν στη βελόνα ενός αγνώστου.
- Να έχετε μαζί σας ένα USB data blocker, που μερικές φορές ονομάζεται "προφυλακτικό USB", για φόρτιση σε δημόσιους χώρους. Κόβει φυσικά τις ακίδες δεδομένων και περνάει μόνο ρεύμα, το οποίο σταματά τόσο την τροφοδοσία ρεύματος όσο και την εισαγωγή πλήκτρων μέσω αυτής της θύρας USB.
- Συγκεκριμένα για τα κρυπτονομίσματα, ελέγχετε πάντα την πλήρη διεύθυνση λήψης στην οθόνη του πορτοφολιού υλικού σας πριν εγκρίνετε οτιδήποτε. Αυτή η μία συνήθεια ακυρώνει την εναλλαγή του προχείρου, επειδή η διεύθυνση στην αξιόπιστη συσκευή δεν θα ταιριάζει με αυτήν που εισήλθε το κακόβουλο λογισμικό.
- Αγοράστε πορτοφόλια υλικού απευθείας από τον κατασκευαστή, ποτέ από τρίτο μεταπωλητή ή από άγνωστο, και ποτέ μην εμπιστεύεστε μια συσκευή που εμφανίζεται απροειδοποίητα.
- Από την πλευρά του τελικού σημείου, ο έλεγχος συσκευών USB, η προσθήκη στη λίστα επιτρεπόμενων HID και τα εργαλεία διαχείρισης τελικών σημείων μπορούν να εμποδίσουν τη σύνδεση μη αναγνωρισμένων πληκτρολογίων. Σε προσωπικές συσκευές, λειτουργίες όπως η προτροπή "Να επιτρέπεται η σύνδεση αξεσουάρ" της Apple ή η ρύθμιση USB-off-while-locked του Android, κλείνουν την ίδια πόρτα.
Κανένα από αυτά δεν είναι εξωτικό. Είναι η ψηφιακή εκδοχή του να μην τρως φαγητό που σου δίνει ένας ξένος στον δρόμο.
Συμπέρασμα για το BadUSB και την ασφάλεια USB
Το BadUSB είναι ανησυχητικό ακριβώς επειδή είναι τόσο συνηθισμένο. Δεν απαιτείται zero-day, δεν απαιτείται ιδιοφυΐα, απλώς μια υπόθεση 5 δολαρίων ότι ένα καλώδιο είναι απλώς ένα καλώδιο και ένα πληκτρολόγιο είσαι μόνο εσύ. Αυτή η υπόθεση είναι λανθασμένη και ο εξοπλισμός για να αποδείξεις ότι κάνει λάθος κοστίζει τώρα περίπου όσο το τηλέφωνο που φορτίζεις.
Για τους κατόχους κρυπτονομισμάτων, η λύση δεν απαιτεί παράνοια, μόνο πειθαρχία. Επαληθεύστε τις διευθύνσεις στην οθόνη της συσκευής, όχι στον υπολογιστή. Αγοράστε απευθείας το υλικό σας. Και την επόμενη φορά που κάποιος θα σας προσφέρει ένα καλώδιο που δεν έχετε φέρει, αναρωτηθείτε τι μπορεί να πληκτρολογεί. Τι θα είχατε συνδέσει σήμερα χωρίς δεύτερη σκέψη;
