حمله BadUSB: چگونه یک کابل USB به یک صفحه کلید تبدیل می‌شود

خطرناک‌ترین چیز در کیف شما ممکن است کابلی باشد که کمترین اعتماد را به آن دارید. یک کابل USB، یک فلش مموری یدکی، شارژر «رایگان» که کسی در اتاق جلسه جا گذاشته است. همه آنها بی‌خطر به نظر می‌رسند. با این حال، یکی را به آن وصل کنید، و اگر به یک دستگاه BadUSB تبدیل شده باشد، کامپیوتر شما در نیمه اول ثانیه کاری عجیب انجام می‌دهد: کابل را به عنوان یک کیبورد می‌شناسد و به آن اجازه می‌دهد شروع به تایپ کند.

کل ترفند همین است. BadUSB ویروسی نیست که بتوانید آن را اسکن کنید. این یک حمله سایبری است که از قابلیت‌های پیش‌فرض USB سوءاستفاده می‌کند، یکی از موذی‌ترین مسیرهای حمله در تمام حوزه‌های امنیت سایبری. و برای هر کسی که ارز دیجیتال دارد، این تایپ کردن بی‌صدا می‌تواند به قیمت از دست دادن کیف پول تمام شود. در اینجا نحوه کار آن، دلیل سختی توقف آن و دلیل قرارگیری کاربران ارز دیجیتال در معرض خطر آورده شده است.

حمله BadUSB چیست و چرا خطرناک است؟

هر دستگاه USB، از یک فلش مموری ۳ دلاری گرفته تا یک وب‌کم، روی یک میکروکنترلر کوچک با میان‌افزار مخصوص به خود اجرا می‌شود. این میان‌افزار همان چیزی است که به رایانه شما می‌گوید "من یک کیبورد هستم" یا "من یک حافظه هستم". یک حمله BadUSB آن را بازنویسی می‌کند تا دستگاه دروغ بگوید. فلش درایوی که فکر می‌کنید فقط یک حافظه است، بی‌سروصدا خود را به عنوان یک کیبورد یا یک کارت شبکه معرفی می‌کند و سیستم عامل آن را به عنوان یک حرف قبول می‌کند. بدون هیچ هشداری. بدون هیچ علامتی.

چرا این موضوع اینقدر اهمیت دارد؟ به دلیل نحوه برخورد کامپیوترها با کیبوردها. کیبورد یک دستگاه رابط انسانی است و هر سیستم عامل به ورودی HID کاملاً اعتماد دارد. فرض می‌کند که یک شخص واقعی آنجا نشسته و کلیدهای واقعی را فشار می‌دهد. بنابراین یک دستگاه USB مخرب که خود را به عنوان کیبورد جا می‌زند، تمام این اعتماد را به ارث می‌برد و شروع به تایپ دستورات با سرعت ماشین می‌کند.

زنگ خطر سال ۲۰۱۴

این ایده در کنفرانس Black Hat USA 2014 به صورت عمومی مطرح شد، زمانی که دو محقق SR Labs، کارستن نول و یاکوب لل، روی صحنه آمدند و آن را به نمایش گذاشتند. عنوان سخنرانی آنها عالی بود: "BadUSB - درباره لوازم جانبی که به شر تبدیل می‌شوند". یک درایو با ظاهری معمولی که طوری برنامه‌ریزی شده بود که به عنوان یک کیبورد عمل کند و در حالی که کاربر هیچ چیزی نمی‌بیند، یک دستگاه را هک کند. چند هفته بعد، آدام کادیل و برندون ویلسون کد اکسپلویت کاربردی را در DerbyCon منتشر کردند. این نقطه عطف بود. BadUSB دیگر یک ترفند آزمایشگاهی نبود و به چیزی تبدیل شد که هر کسی با یک آخر هفته آزاد می‌توانست آن را بسازد.

چرا نمی‌توانید آن را وصله کنید؟

این بخشی است که هنوز هم متخصصان امنیتی را آزار می‌دهد. اکثر کنترل‌کننده‌های USB، میان‌افزار جدید را بدون امضای کد و بدون احراز هویت می‌پذیرند. هیچ چیز بررسی نمی‌کند که به‌روزرسانی از طرف کسی باشد که باید به او اعتماد کنید. بنابراین نقطه ضعف، یک برنامه‌ی دارای باگ نیست که بتوانید آن را وصله کنید. این نقطه ضعف در خود مدل اعتماد USB وجود دارد.

آنتی‌ویروس شما فایل‌ها را اسکن می‌کند. BadUSB به فایلی نیاز ندارد. رفتار مخرب در میان‌افزار تعبیه شده است و خود حمله فقط با فشردن کلیدها انجام می‌شود. هیچ چیزی روی دیسک قرار نمی‌گیرد تا علامت‌گذاری شود. به همین دلیل است که یک لپ‌تاپ کاملاً وصله شده و کاملاً محافظت‌شده هنوز به یک کابل ۲۰۰ دلاری وابسته است.

چگونه یک حمله‌ی BadUSB در عرض چند ثانیه رخ می‌دهد؟

این توالی را تصور کنید. شما کابل را وصل می‌کنید. دستگاه شماره‌ها را می‌شمارد و به کامپیوتر می‌گوید که این یک صفحه‌کلید است و ظرف یک یا دو ثانیه شروع به فشردن کلیدهایی از روی یک فایل فشرده که اپراتور از قبل بارگذاری کرده است، می‌کند. هیچ انسانی به این سرعت تایپ نمی‌کند. هیچ‌کس به این سرعت نزدیک هم نمی‌شود.

یک بدافزار معمولی، یک پنجره فرمان پنهان یا یک اعلان PowerShell را باز می‌کند، معمولاً در جایی که هرگز آن را نمی‌بینید، یک اسکریپت را از اینترنت می‌گیرد و آن را اجرا می‌کند. کابل تایپ را انجام می‌دهد. اینترنت بدافزار را تأمین می‌کند. زمانی که به صفحه نمایش نگاه می‌کنید، کار از قبل انجام شده است.

دو ثانیه تایپ کردن خیلی جواب می‌دهد. یک ترمینال را باز کنید. یک اعلان امنیتی را ببندید. یک ابزار دسترسی از راه دور را پایین بیاورید و آن را در استارت‌آپ قرار دهید تا از راه‌اندازی مجدد در امان بماند. در ویندوز، یک خط PowerShell برای گرفتن کد از سروری که مهاجم در اختیار دارد و اجرای آن کافی است. و اسکریپت می‌تواند صبور باشد. می‌تواند برای زمان خاصی از روز منتظر بماند، یا فقط زمانی که صفحه قفل است، اجرا شود، بنابراین انفجار کلیدها با هر کاری که قبلاً انجام می‌دادید، مخلوط می‌شود. آنتی‌ویروس شما هرگز تسلیم نمی‌شود، زیرا هیچ چیز به عنوان فایل دریافت نشده است. به عنوان ورودی دریافت شده است.

چرا این روش کار می‌کند؟ خیلی ساده است. شما می‌توانید نرم‌افزارها را قفل کنید، نصب‌ها را محدود کنید، هر اسکنری را که در بازار موجود است اجرا کنید. اما فرض بر این است که یک کیبورد، شما هستید. همین یک فرض، کل ماجرا است و BadUSB طبق تعریف، از آن بهتر عمل می‌کند.

ابزارهای USB بد که می‌توانید بخرید: تبدیل اردک لاستیکی به باله

سال‌ها این حس به آدم دست می‌داد که انگار در قلمرو فیلم‌های جاسوسی هستم. اما دیگر نه. تجهیزات آماده، تزریق کلید را مستقیماً از جعبه انجام می‌دهند و قیمت‌ها به طرز کسل‌کننده‌ای معمولی هستند.

USB Rubber Ducky از Hak5 نمونه‌ی کلاسیک آن است: یک فلش مموری که شبیه فلش مموری است و با زبانی ساده به نام DuckyScript اسکریپت‌نویسی شده و دقیقاً برای همین منظور ساخته شده است. Flipper Zero، یک ابزار جیبی چندکاره که به سرعت محبوب شد، با قابلیت BadUSB داخلی عرضه می‌شود و با قیمت حدود ۱۶۹ دلار به فروش می‌رسد. و سپس کابل O.MG وجود دارد که باید بیشتر از همه شما را نگران کند، زیرا اصلاً یک درایو نیست. این یک کابل است.

کابل O.MG ظاهری کاملاً مشابه کابل‌های معمولی اپل یا USB-C دارد. درون آن یک تراشه بی‌سیم و یک رابط وب کوچک که اپراتور از طریق وای‌فای به آن دسترسی دارد، پنهان شده است. نسخه Elite آن با سرعت حداکثر ۸۹۰ ضربه در ثانیه کلیدها را فشار می‌دهد و یک کی‌لاگر داخلی دارد که تا ۶۵۰ هزار ضربه از آنها را ثبت می‌کند. در حالت غیرفعال، گوشی شما را شارژ می‌کند و مانند هر کابل دیگری داده‌ها را منتقل می‌کند. شما هرگز متوجه نخواهید شد. نکته اصلی همین است.

برای اینکه تصور بهتری از این موضوع داشته باشید، یک ایمپلنت مشابه در گذشته، از نوعی که گفته می‌شود توسط سازمان‌های اطلاعاتی ساخته شده، ده‌ها هزار دلار هزینه داشته است. کابل O.MG بیشتر این قابلیت را با قیمت یک شام خوب بازسازی می‌کند. مانع ورود اساساً از بین رفته است.

چرا دارندگان ارزهای دیجیتال هدف اصلی BadUSB هستند؟

بیشتر نوشته‌ها در زاویه دید فناوری اطلاعات شرکت‌ها متوقف می‌شوند. من می‌خواهم به جایی بروم که آنها نمی‌روند، زیرا اگر شما کریپتو داشته باشید، مدل تهدید شما متفاوت است و صادقانه بگویم کمی بدتر.

تعویض کلیپ بورد

حمله‌ی BadUSB نیازی به هک کردن کیف پول شما ندارد. فقط باید یک چیز را تغییر دهد: کلیپ‌بورد شما. بدافزار تزریق‌شده در عرض چند ثانیه یک رباینده‌ی کلیپ‌بورد را رها می‌کند. پس از آن، هر بار که یک آدرس ارز دیجیتال را برای ارسال وجه کپی می‌کنید، بدافزار بی‌سروصدا آدرس مهاجم را جایگزین می‌کند. شما چیزی را که درست به نظر می‌رسد، پیست می‌کنید. شما تأیید می‌کنید. پول در کیف پول یک غریبه قرار می‌گیرد.

این یک فرضیه نیست. یک سارق کلیپ‌بورد در حالی که بیش از دو میلیون آدرس بیت‌کوین را زیر نظر داشت و در حال جابجایی کیف پول‌های مهاجم بود، دستگیر شد. در یک کمپین در سال ۲۰۲۴ با نام مستعار GitVenom، مخازن کد جعلی، بدافزاری را برای جابجایی آدرس ارسال کردند و تقریباً ۴۸۵۰۰۰ دلار بیت‌کوین به سرقت بردند. این ترفند زننده است زیرا آدرس‌های کریپتو رشته‌های طولانی و تصادفی هستند که هیچ‌کس در واقع کاراکتر به کاراکتر آنها را نمی‌خواند. شما چهار مورد اول را بررسی می‌کنید، چهار مورد آخر را بررسی می‌کنید، آنها مطابقت دارند، سپس دکمه ارسال را فشار می‌دهید. جابجایی در وسط پنهان می‌شود، دقیقاً جایی که چشم شما هرگز به آن نمی‌رود. و خطرات بسیار زیاد است: طبق گفته Chainalysis ، حدود ۲.۲ میلیارد دلار کریپتو در سال ۲۰۲۴ به سرقت رفته است که ۴۳.۸ درصد از این خسارات مربوط به لو رفتن کلید خصوصی بوده است.

آیا کیف پول سخت‌افزاری شما را نجات می‌دهد؟

تقریباً بله، و ارزشش را دارد که دلیلش را روشن کنیم. یک لجر یا ترزور عبارت بازیابی شما را درون یک عنصر امن قفل می‌کند. کلیدهای خصوصی در آنجا متولد می‌شوند و هرگز خارج نمی‌شوند. فقط یک تراکنش امضا شده از سیم USB عبور می‌کند. بنابراین یک دستگاه BadUSB که کلیدهای فشرده شده را پخش می‌کند، نمی‌تواند فقط دستوری را تایپ کند که عبارت بازیابی شما را از یک کیف پول سخت‌افزاری فعال بیرون بکشد. کل معماری طوری ساخته شده است که دقیقاً از این کار امتناع ورزد.

اما دو حفره واقعی وجود دارد. اولین حفره، مهندسی اجتماعی است. در سال ۲۰۲۱، کلاهبرداران دستگاه‌های تقلبی لجر را برای افرادی که آدرس منزلشان در نقض داده‌های لجر در سال ۲۰۲۰ فاش شده بود، ارسال کردند. همانطور که کوین‌دسک گزارش داد، سخت‌افزار تقلبی با یادداشتی ارسال می‌شد که به قربانیان می‌گفت عبارت بازیابی ۲۴ کلمه‌ای خود را در یک برنامه همراه تایپ کنند. هیچ سوءاستفاده‌ای لازم نیست. فقط یک بسته‌بندی قانع‌کننده و کمی ترس. حفره دوم، زنجیره تأمین است. محققان کراکن نشان دادند که تراشه‌ای که USB را در یک کیف پول سخت‌افزاری مدیریت می‌کند، تراشه‌ای که جدا از عنصر امنیتی است، می‌تواند قبل از رسیدن دستگاه به خریدار دستکاری شود.

درس این نیست که «کیف پول‌های سخت‌افزاری بی‌فایده هستند». آن‌ها ابزار درستی هستند، کاملاً درست. درس این است که نقطه ضعف به شما منتقل می‌شود: چیزی که کپی می‌کنید، چیزی که تایپ می‌کنید و اینکه دستگاه شما اصلاً از کجا آمده است.

تهدید USB واقعاً چقدر رایج است؟

وسوسه‌انگیز است که BadUSB را در دسته‌ی «جالب، اما نادر» قرار دهیم. داده‌ها خلاف این را می‌گویند، حداقل برای تهدید گسترده‌تر USB.

شرکت امنیتی هانیول، بدافزارهای یافت شده در سایت‌های صنعتی را ردیابی می‌کند. هانیول در گزارش سال ۲۰۲۴ خود دریافت که ۵۱٪ از بدافزارهایی که شناسایی کرده، برای پخش شدن از طریق USB ساخته شده‌اند، که این رقم در سال ۲۰۱۹ تنها ۹٪ بوده است. از این بدافزارهای USB، ۸۲٪ می‌توانند عملیات صنعتی را مختل کنند. USB یک سطح حمله‌ی بی‌اثر نیست. این سطح در حال رشد است.

و عامل انسانی ساده‌ترین بخش برای سوءاستفاده است. در یک مطالعه‌ی شناخته‌شده، محققان دانشگاه ایلینوی ۲۹۷ درایو USB را در اطراف یک دانشگاه پخش کردند. مردم آنها را برداشتند و به سیستم وصل کردند، اولین درایو در عرض چند دقیقه. Curiosity کار مهاجم را به صورت رایگان انجام می‌دهد.

یک نکته‌ی صادقانه اینجا وجود دارد. FBI و FCC هر دو در سال ۲۰۲۳ هشدارهای عمومی در مورد "Juice Jacking" در ایستگاه‌های شارژ فرودگاه‌ها و مراکز خرید منتشر کردند. این هشدارها احتیاطی بودند و هیچ مورد تایید شده‌ی بزرگی به صورت عمومی منتشر نشده است. با این حال، نقطه ضعفی که آنها به آن اشاره می‌کنند، یعنی پورت شارژی که می‌تواند داده‌ها را نیز منتقل کند، دقیقاً همان چیزی است که BadUSB از آن سوءاستفاده می‌کند. نکته این نیست که یک کابل تله‌گذاری شده در هر فرودگاهی منتظر است. نکته این است که همان پورت USB، برق و داده را روی پین‌های یکسانی حمل می‌کند، بنابراین پورتی که نمی‌توانید آن را بررسی کنید، پورتی است که نمی‌توانید کاملاً به آن اعتماد کنید.

چگونه از حملات BadUSB جلوگیری کنیم و از ارزهای دیجیتال محافظت کنیم؟

خبر خوب این است که پیشگیری از حمله‌ی USB بد عمدتاً ارزان و مبتنی بر رفتار است. شما به نرم‌افزارهای پیچیده، به اندازه‌ی یک عادت جدید نیاز ندارید.

• هیچ دستگاه USB یا کابلی را که خودتان نخریده‌اید یا نمی‌توانید کاملاً به آن اعتماد کنید، به دستگاه وصل نکنید. هدیه کنفرانس، فلش مموری که در پارکینگ پیدا کرده‌اید، کابل قرضی، اینها تهدید هستند. با آنها همانطور رفتار کنید که با سوزن یک غریبه رفتار می‌کنید.
• برای شارژ کردن در مکان‌های عمومی، یک مسدودکننده داده USB، که گاهی اوقات "کاندوم USB" نامیده می‌شود، همراه داشته باشید. این مسدودکننده به صورت فیزیکی پین‌های داده را قطع می‌کند و فقط برق را عبور می‌دهد، که هم اتصال از طریق Juice Jacking و هم تزریق کلید از طریق پورت USB را از بین می‌برد.
• مخصوصاً برای ارزهای دیجیتال، همیشه قبل از تأیید هر چیزی، آدرس کامل گیرنده را روی صفحه نمایش خود کیف پول سخت‌افزاری خود بررسی کنید. همین عادت، تعویض کلیپ‌بورد را بی‌اثر می‌کند، زیرا آدرس روی دستگاه مورد اعتماد با آدرسی که بدافزار وارد آن شده است، مطابقت نخواهد داشت.
• کیف پول‌های سخت‌افزاری را مستقیماً از سازنده بخرید، هرگز از یک فروشنده شخص ثالث یا یک غریبه خرید نکنید، و هرگز به دستگاهی که بدون اطلاع قبلی ظاهر می‌شود اعتماد نکنید.
• در سمت دستگاه‌های انتهایی، کنترل دستگاه USB، فهرست سفید HID و ابزارهای مدیریت دستگاه‌های انتهایی می‌توانند از اتصال صفحه‌کلیدهای ناشناس به طور کلی جلوگیری کنند. در دستگاه‌های شخصی، ویژگی‌هایی مانند پیام «اجازه اتصال لوازم جانبی» اپل یا تنظیم خاموش-روشن-USB در حین قفل بودن دستگاه اندروید، همین مشکل را حل می‌کنند.

هیچ‌کدام از این‌ها عجیب و غریب نیستند. آن‌ها نسخه‌ی دیجیتالیِ نخوردن غذایی هستند که یک غریبه در خیابان به شما می‌دهد.

نکته‌ی کلیدی در مورد USB بد و امنیت USB

USB بد دقیقاً به این دلیل نگران‌کننده است که بسیار عادی است. نه به روز صفر نیاز دارد، نه به نبوغ، فقط یک فرض ۵ دلاری که کابل فقط یک کابل است و کیبورد فقط شما. این فرض اشتباه است، و تجهیزاتی که اشتباه بودن آن را ثابت می‌کنند، اکنون تقریباً به اندازه تلفنی که شارژ می‌کنید، قیمت دارند.

برای دارندگان ارزهای دیجیتال، این راه حل نیازی به بدبینی ندارد، فقط نظم و انضباط لازم است. آدرس‌ها را روی صفحه دستگاه تأیید کنید، نه روی کامپیوتر. سخت‌افزار خود را مستقیماً بخرید. و دفعه بعد که کسی کابلی را که نیاورده‌اید به شما پیشنهاد داد، از خود بپرسید که چه چیزی ممکن است در حال تایپ باشد. امروز بدون لحظه‌ای فکر کردن چه چیزی را به برق وصل می‌کردید؟

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.