बैडयूएसबी अटैक: कैसे एक यूएसबी केबल कीबोर्ड बन जाती है
आपके बैग में सबसे खतरनाक चीज़ शायद वो केबल हो जिस पर आपको सबसे कम भरोसा हो। एक यूएसबी केबल, एक अतिरिक्त फ्लैश ड्राइव, या किसी मीटिंग रूम में किसी का छोड़ा हुआ "मुफ्त" चार्जर। ये सब देखने में हानिरहित लगते हैं। लेकिन अगर आप इनमें से किसी एक को प्लग इन करते हैं और अगर यह एक खराब यूएसबी डिवाइस में बदल गया है, तो आपका कंप्यूटर पहले आधे सेकंड में कुछ अजीब करता है: यह केबल को कीबोर्ड समझकर टाइप करना शुरू कर देता है।
यही तो असली चाल है। BadUSB कोई वायरस नहीं है जिसे स्कैन करके पहचाना जा सके। यह एक साइबर हमला है जो USB की डिफ़ॉल्ट क्षमताओं का दुरुपयोग करता है, और साइबर सुरक्षा में सबसे चालाकी भरे हमलों में से एक है। और क्रिप्टोकरेंसी रखने वाले किसी भी व्यक्ति के लिए, यह खामोश हमला चुपचाप उनके वॉलेट को खाली कर सकता है। आइए जानते हैं यह कैसे काम करता है, इसे रोकना इतना मुश्किल क्यों है, और क्रिप्टोकरेंसी उपयोगकर्ता इसके खतरे के सबसे करीब क्यों हैं।
बैडयूएसबी अटैक क्या है और यह खतरनाक क्यों है?
तीन डॉलर की थंब ड्राइव से लेकर वेबकैम तक, हर USB डिवाइस एक छोटे माइक्रोकंट्रोलर पर चलता है जिसमें उसका अपना फर्मवेयर होता है। यही फर्मवेयर आपके कंप्यूटर को बताता है कि "मैं एक कीबोर्ड हूँ" या "मैं स्टोरेज हूँ"। बैड USB अटैक इसे बदल देता है जिससे डिवाइस झूठ बोलने लगता है। जिस फ्लैश ड्राइव को आप सिर्फ स्टोरेज समझते हैं, वह चुपचाप खुद को कीबोर्ड या नेटवर्क कार्ड के रूप में फिर से घोषित कर देती है, और ऑपरेटिंग सिस्टम इसे मान लेता है। कोई प्रॉम्प्ट नहीं, कोई चेतावनी नहीं।
यह इतना महत्वपूर्ण क्यों है? क्योंकि कंप्यूटर कीबोर्ड को अलग तरह से इस्तेमाल करते हैं। कीबोर्ड एक ह्यूमन इंटरफेस डिवाइस (HID) है, और हर ऑपरेटिंग सिस्टम HID इनपुट पर पूरी तरह भरोसा करता है। यह मानता है कि कोई असली व्यक्ति वहां बैठा है और असली बटन दबा रहा है। इसलिए, कीबोर्ड होने का दिखावा करने वाला कोई दुर्भावनापूर्ण USB डिवाइस इस भरोसे का पूरा लाभ उठाता है और मशीन की गति से कमांड टाइप करना शुरू कर देता है।
2014 की चेतावनी
यह विचार ब्लैक हैट यूएसए 2014 में सार्वजनिक हुआ, जब एसआर लैब्स के दो शोधकर्ताओं, कार्स्टन नोहल और जैकब लेल ने मंच पर आकर इसे प्रदर्शित किया। उनके भाषण का शीर्षक बहुत ही दिलचस्प था: "बैडयूएसबी - ऐसे सहायक उपकरण जो बुराई का रूप ले लेते हैं।" एक सामान्य दिखने वाली ड्राइव को कीबोर्ड की तरह काम करने के लिए रीप्रोग्राम किया गया था, जो उपयोगकर्ता को कुछ भी पता चले बिना ही मशीन को हाईजैक कर लेती थी। कुछ हफ्तों बाद, एडम कॉडिल और ब्रैंडन विल्सन ने डर्बीकॉन में काम करने वाला एक्सप्लॉइट कोड प्रस्तुत किया। यही वह मोड़ था। बैडयूएसबी अब केवल एक लैब की ट्रिक नहीं रह गई, बल्कि एक ऐसी चीज बन गई जिसे कोई भी व्यक्ति अपने खाली सप्ताहांत में बना सकता था।
आप इसे पैच क्यों नहीं कर सकते?
सुरक्षा विशेषज्ञों को अब भी यही बात परेशान करती है। ज़्यादातर USB कंट्रोलर बिना कोड साइनिंग और बिना किसी प्रमाणीकरण के ही नए फ़र्मवेयर को स्वीकार कर लेते हैं। कोई भी यह जाँच नहीं करता कि अपडेट किसी भरोसेमंद स्रोत से आया है या नहीं। इसलिए, समस्या किसी एक दोषपूर्ण प्रोग्राम में नहीं है जिसे ठीक किया जा सके। बल्कि, यह USB के भरोसे के मूल सिद्धांत में ही निहित है।
आपका एंटीवायरस फ़ाइलों को स्कैन करता है। BadUSB को किसी फ़ाइल की आवश्यकता नहीं होती। यह दुर्भावनापूर्ण गतिविधि फ़र्मवेयर में अंतर्निहित है, और हमला केवल कुछ कीबोर्ड शॉर्टकट से ही हो जाता है। डिस्क पर कुछ भी संग्रहीत नहीं होता जिसे चिह्नित किया जा सके। यही कारण है कि पूरी तरह से सुरक्षित और पैच किया हुआ लैपटॉप भी 200 डॉलर के केबल से प्रभावित हो जाता है।
बैडयूएसबी अटैक कुछ ही सेकंड में कैसे अंजाम तक पहुंचता है
ज़रा इस प्रक्रिया की कल्पना कीजिए। आप केबल लगाते हैं। कंप्यूटर को पता चलता है कि यह एक कीबोर्ड है, और एक-दो सेकंड के भीतर ही यह ऑपरेटर द्वारा पहले से लोड किए गए डेटा से टाइपिंग शुरू कर देता है। कोई भी इंसान इतनी तेज़ी से टाइप नहीं कर सकता। कोई भी इसके आस-पास भी नहीं पहुँच सकता।
एक सामान्य पेलोड एक छिपी हुई कमांड विंडो या पॉवरशेल प्रॉम्प्ट खोलता है, आमतौर पर ऐसी जगह पर जहाँ आप इसे कभी नहीं देख पाते, इंटरनेट से एक स्क्रिप्ट डाउनलोड करता है और उसे चलाता है। केबल टाइपिंग का काम करता है। इंटरनेट मैलवेयर उपलब्ध कराता है। जब तक आप स्क्रीन पर नज़र डालते हैं, तब तक यह काम पूरा हो चुका होता है।
दो सेकंड की टाइपिंग से बहुत फर्क पड़ता है। एक टर्मिनल खोलें। एक सुरक्षा प्रॉम्प्ट बंद करें। एक रिमोट-एक्सेस टूल डाउनलोड करें और उसे स्टार्टअप में इस तरह से इंस्टॉल करें कि वह रीबूट होने पर भी चलता रहे। विंडोज पर, पॉवरशेल की एक लाइन ही हमलावर के स्वामित्व वाले सर्वर से कोड प्राप्त करने और उसे चलाने के लिए काफी है। और यह स्क्रिप्ट धैर्य रख सकती है। यह दिन के किसी खास समय का इंतजार कर सकती है, या केवल स्क्रीन अनलॉक होने पर ही चल सकती है, ताकि टाइपिंग की आवाज आपके पहले से किए जा रहे काम में घुलमिल जाए। आपका एंटीवायरस बिल्कुल भी विचलित नहीं होता, क्योंकि कुछ भी फाइल के रूप में नहीं आया। यह इनपुट के रूप में आया।
यह लगातार काम क्यों करता रहता है? सीधा सा जवाब है। आप सॉफ़्टवेयर को लॉक डाउन कर सकते हैं, इंस्टॉलेशन को प्रतिबंधित कर सकते हैं, बाज़ार में मौजूद हर स्कैनर चला सकते हैं। लेकिन कीबोर्ड को आप ही माना जाता है। यही एक धारणा पूरी बात है, और BadUSB इसे परिभाषा के अनुसार मात देता है।
आप BadUSB के लिए ये उपकरण खरीद सकते हैं: रबर डकी से लेकर फ्लिपर तक
कई सालों तक यह किसी जासूसी फिल्म की कहानी जैसा लगता था। लेकिन अब ऐसा नहीं है। बाज़ार में आसानी से मिलने वाले उपकरण बिना किसी झंझट के बटन दबाने की सुविधा देते हैं, और कीमतें भी सामान्य हैं।
Hak5 का USB रबर डकी एक क्लासिक उदाहरण है: एक स्टिक जो फ्लैश ड्राइव जैसी दिखती है, जिसे डकीस्क्रिप्ट नामक एक सरल भाषा में लिखा गया है और ठीक इसी काम के लिए बनाया गया है। फ्लिपर ज़ीरो, एक पॉकेट मल्टी-टूल जो वायरल हो गया, उसमें बैडयूएसबी फीचर पहले से ही मौजूद है और इसकी कीमत लगभग $169 है। और फिर आता है O.MG केबल, जो आपको सबसे ज्यादा परेशान कर सकता है, क्योंकि यह कोई ड्राइव नहीं है। यह सिर्फ एक केबल है।
O.MG केबल देखने में बिल्कुल सामान्य Apple या USB-C केबल जैसी लगती है। इसके अंदर एक वायरलेस चिप और एक छोटा वेब इंटरफ़ेस छिपा होता है, जिसे ऑपरेटर वाई-फाई के ज़रिए एक्सेस कर सकता है। एलीट वर्ज़न 890 कीस्ट्रोक्स प्रति सेकंड तक की गति से टाइप कर सकता है और इसमें एक ऑनबोर्ड कीलॉगर होता है जो 650,000 तक कीस्ट्रोक्स स्टोर कर सकता है। निष्क्रिय रहने पर, यह आपके फ़ोन को चार्ज करता है और किसी भी अन्य केबल की तरह डेटा ट्रांसफर करता है। आपको कभी पता भी नहीं चलेगा। यही तो इसका मुख्य उद्देश्य है।
| औजार | बनाने का कारक | इंजेक्शन गति | वायरलेस नियंत्रण | लगभग कीमत |
|---|---|---|---|---|
| यूएसबी रबर डकी | फ्लैश-ड्राइव स्टिक | तेज़ (स्क्रिप्टेड) | नहीं | लगभग $60 |
| फ्लिपर ज़ीरो | पॉकेट मल्टी-टूल | तेज़ (स्क्रिप्टेड) | लिमिटेड | लगभग $169 |
| ओ.एमजी केबल (एलीट) | सामान्य दिखने वाला केबल | 890 कुंजी/सेकंड तक | हाँ (वाई-फ़ाई) | लगभग $200 |
इसे समझने के लिए, पहले इसी तरह के इम्प्लांट, जिन्हें कथित तौर पर खुफिया एजेंसियों द्वारा बनाया जाता था, की कीमत हजारों डॉलर में होती थी। ओ.एमजी केबल उसी क्षमता को एक अच्छे डिनर की कीमत में फिर से हासिल कर लेता है। अब इसे इस्तेमाल करने में कोई खास मुश्किल नहीं रह गई है।
क्रिप्टो धारक बैडयूएसबी के प्रमुख निशाने क्यों हैं?
अधिकांश लेख कॉर्पोरेट आईटी पहलू पर ही रुक जाते हैं। मैं उस दिशा में जाना चाहता हूँ जहाँ वे नहीं जाते, क्योंकि यदि आप क्रिप्टोकरेंसी रखते हैं, तो आपका खतरा मॉडल अलग है, और सच कहूँ तो थोड़ा अधिक खतरनाक है।
क्लिपबोर्ड स्वैप
बैडयूएसबी हमले के लिए आपके वॉलेट को हैक करने की ज़रूरत नहीं होती। इसे बस एक चीज़ बदलनी होती है: आपका क्लिपबोर्ड। इंजेक्ट किया गया पेलोड कुछ ही सेकंड में क्लिपबोर्ड हाइजैकर इंस्टॉल कर देता है। इसके बाद, जब भी आप फंड भेजने के लिए किसी क्रिप्टो एड्रेस को कॉपी करते हैं, मैलवेयर चुपचाप उसकी जगह हमलावर का एड्रेस डाल देता है। आप सही दिखने वाली कॉपी पेस्ट करते हैं। आप कन्फर्म करते हैं। और पैसा किसी अनजान व्यक्ति के वॉलेट में पहुँच जाता है।
यह कोई सैद्धांतिक बात नहीं है। एक क्लिपबोर्ड हैकर को 20 लाख से अधिक बिटकॉइन पतों पर नज़र रखते हुए पकड़ा गया, जो हमलावरों के वॉलेट को तुरंत बदल रहा था। 2024 में GitVenom नाम के एक अभियान में, नकली कोड रिपॉजिटरी ने एड्रेस-स्वैपिंग मैलवेयर भेजा और लगभग 485,000 डॉलर मूल्य के बिटकॉइन चुरा लिए। यह चाल बहुत ही खतरनाक है क्योंकि क्रिप्टो पते लंबी, यादृच्छिक स्ट्रिंग होती हैं जिन्हें कोई भी अक्षर-दर-अक्षर नहीं पढ़ता। आप पहले चार अक्षर देखते हैं, आखिरी चार अक्षर देखते हैं, वे मेल खाते हैं, आप सेंड बटन दबा देते हैं। स्वैप बीच में छिपा होता है, ठीक उसी जगह जहाँ आपकी नज़र कभी नहीं जाती। और इसमें जोखिम बहुत बड़ा है: Chainalysis के अनुसार , 2024 में लगभग 2.2 बिलियन डॉलर मूल्य की क्रिप्टो चोरी हुई, जिसमें से 43.8% नुकसान निजी कुंजी के उल्लंघन के कारण हुए।
क्या हार्डवेयर वॉलेट आपके लिए फायदेमंद साबित होता है?
हाँ, लगभग हर जगह यही होता है, और इसके पीछे का कारण स्पष्ट करना ज़रूरी है। लेजर या ट्रेज़र आपके सीड फ्रेज़ को एक सिक्योर एलिमेंट के अंदर लॉक कर देता है। प्राइवेट कीज़ वहीं बनती हैं और कभी बाहर नहीं निकलतीं। केवल हस्ताक्षरित लेनदेन ही यूएसबी तार के माध्यम से संचारित होता है। इसलिए, कोई खराब यूएसबी डिवाइस बार-बार कीबोर्ड पर टाइप करके आपके सीड फ्रेज़ को किसी चालू हार्डवेयर वॉलेट से नहीं निकाल सकता। पूरी संरचना इसी तरह बनाई गई है कि वह ऐसा होने से रोकती है।
लेकिन इसमें दो बड़ी खामियां हैं। पहली है सोशल इंजीनियरिंग। 2021 में, धोखेबाजों ने उन लोगों को नकली लेजर डिवाइस भेजे जिनके घर के पते लेजर के 2020 के डेटा लीक में सामने आ गए थे। कॉइनडेस्क की रिपोर्ट के अनुसार, नकली हार्डवेयर के साथ एक नोट भेजा गया था जिसमें पीड़ितों को एक ऐप में अपना 24 शब्दों का सीड फ्रेज टाइप करने के लिए कहा गया था। किसी भी तरह के हैक की आवश्यकता नहीं थी। बस एक विश्वसनीय पैकेज और थोड़ा सा डर। दूसरी खामी आपूर्ति श्रृंखला से संबंधित है। क्रैकन के शोधकर्ताओं ने दिखाया कि हार्डवेयर वॉलेट पर यूएसबी को संभालने वाली चिप, जो सिक्योर एलिमेंट से अलग होती है, डिवाइस के खरीदार तक पहुंचने से पहले ही छेड़छाड़ की जा सकती है।
इस बात से यह सबक नहीं मिलता कि "हार्डवेयर वॉलेट बेकार हैं।" वे एक उपयोगी उपकरण हैं, बस इतना ही। सबक यह है कि कमजोरी आप पर आ जाती है: आप क्या कॉपी करते हैं, क्या टाइप करते हैं, और आपका डिवाइस मूल रूप से कहां से आया है।
यूएसबी से होने वाला खतरा वास्तव में कितना आम है?
BadUSB को "दिलचस्प, लेकिन दुर्लभ" श्रेणी में रखना लुभावना लग सकता है। लेकिन आंकड़े इससे अलग ही बात कहते हैं, कम से कम व्यापक USB खतरे के संदर्भ में।
सुरक्षा फर्म हनीवेल औद्योगिक स्थलों पर पाए जाने वाले मैलवेयर पर नज़र रखती है। अपनी 2024 की रिपोर्ट में, हनीवेल ने पाया कि उसके द्वारा पकड़े गए मैलवेयर का 51% यूएसबी के माध्यम से फैलने के लिए बनाया गया था, जो 2019 में केवल 9% था। उस यूएसबी मैलवेयर में से 82% औद्योगिक कार्यों को बाधित कर सकता है। यूएसबी एक निष्क्रिय हमला क्षेत्र नहीं है, बल्कि यह एक बढ़ता हुआ खतरा है।
और मानवीय कारक का फायदा उठाना सबसे आसान है। एक प्रसिद्ध अध्ययन में, इलिनोइस विश्वविद्यालय के शोधकर्ताओं ने एक परिसर में 297 यूएसबी ड्राइव बिखेर दीं। लोगों ने उन्हें उठाया और प्लग इन किया, कुछ ही मिनटों में पहली ड्राइव भी प्लग इन हो गई। जिज्ञासा हमलावर का काम मुफ्त में कर देती है।
| खोज | आकृति | स्रोत | वर्ष |
|---|---|---|---|
| ओटी-साइट मैलवेयर जो यूएसबी के माध्यम से फैलता है | 51% (2019 में 9% से बढ़कर) | हनीवेल | 2024 |
| वह यूएसबी मैलवेयर संचालन को बाधित करने में सक्षम है। | 82% | हनीवेल | 2024 |
| क्रिप्टो चोरी हो गया, निजी कुंजी के दुरुपयोग से शेयर प्राप्त हुए | $2.2 बिलियन / 43.8% | चेनैलिसिस | 2024 |
| USB ड्राइव जो प्लग इन करते समय गिर जाती हैं | लगभग आधे, कुछ ही मिनटों के भीतर | इलिनोइस विश्वविद्यालय | 2016 |
यहां एक ज़रूरी बात ध्यान देने वाली है। एफबीआई और एफसीसी दोनों ने 2023 में हवाई अड्डों और मॉल के चार्जिंग स्टेशनों पर "चार्जिंग पोर्ट की चोरी" के बारे में सार्वजनिक चेतावनी जारी की थी। ये चेतावनियां एहतियाती थीं और अभी तक कोई बड़ा पुष्ट मामला सामने नहीं आया है। फिर भी, जिस कमजोरी की ओर वे इशारा कर रहे हैं, यानी एक चार्जिंग पोर्ट जो डेटा भी ट्रांसफर कर सकता है, ठीक उसी का फायदा बैडयूएसबी उठा रहा है। मुद्दा यह नहीं है कि हर हवाई अड्डे पर कोई जालसाजी वाला केबल मौजूद है। मुद्दा यह है कि एक ही यूएसबी पोर्ट एक ही पिन पर पावर और डेटा दोनों को ट्रांसफर करता है, इसलिए जिस पोर्ट की आप जांच नहीं कर सकते, उस पर पूरी तरह भरोसा नहीं किया जा सकता।
बैडयूएसबी हमलों से कैसे बचाव करें और क्रिप्टो को कैसे सुरक्षित रखें
अच्छी खबर यह है कि बैडयूएसबी हमले से बचाव ज्यादातर सस्ता और व्यवहारिक होता है। इसके लिए आपको किसी महंगे सॉफ्टवेयर की जरूरत नहीं, बल्कि एक नई आदत अपनाने की जरूरत है।
- किसी भी ऐसे USB डिवाइस या केबल को प्लग इन न करें जिसे आपने खुद नहीं खरीदा हो या जिस पर आपको पूरी तरह से भरोसा न हो। कॉन्फ्रेंस में मुफ्त में मिला सामान, पार्किंग में मिली ड्राइव, या किसी से उधार लिया हुआ केबल, ये सभी खतरे का कारण हो सकते हैं। इनके साथ वैसा ही व्यवहार करें जैसा आप किसी अजनबी की सुई के साथ करते हैं।
- सार्वजनिक स्थानों पर चार्जिंग के लिए यूएसबी डेटा ब्लॉकर (जिसे कभी-कभी "यूएसबी कंडोम" भी कहा जाता है) साथ रखें। यह डेटा पिन को भौतिक रूप से काट देता है और केवल पावर प्रवाहित करता है, जिससे उस यूएसबी पोर्ट के माध्यम से डेटा चोरी और कीस्ट्रोक इंजेक्शन दोनों ही विफल हो जाते हैं।
- क्रिप्टोकरेंसी के मामले में, किसी भी चीज़ को मंज़ूरी देने से पहले हमेशा अपने हार्डवेयर वॉलेट की स्क्रीन पर पूरा प्राप्तकर्ता पता ज़रूर जांच लें। यह एक आदत क्लिपबोर्ड स्वैप को नाकाम कर देती है, क्योंकि विश्वसनीय डिवाइस पर मौजूद पता मैलवेयर द्वारा डाले गए पते से मेल नहीं खाएगा।
- हार्डवेयर वॉलेट सीधे निर्माता से ही खरीदें, कभी भी किसी तीसरे पक्ष के विक्रेता या किसी अजनबी से न खरीदें, और कभी भी ऐसे उपकरण पर भरोसा न करें जो बिना किसी सूचना के अचानक सामने आ जाए।
- एंडपॉइंट की तरफ, यूएसबी डिवाइस कंट्रोल, एचआईडी व्हाइटलिस्टिंग और एंडपॉइंट मैनेजमेंट टूल्स अनजान कीबोर्ड को कनेक्ट होने से पूरी तरह रोक सकते हैं। पर्सनल डिवाइसों पर, एप्पल का "एक्सेसरीज को कनेक्ट करने की अनुमति दें" प्रॉम्प्ट या एंड्रॉइड की लॉक होने पर यूएसबी बंद करने जैसी सुविधाएं भी यही काम करती हैं।
इनमें से कोई भी अनोखी चीज नहीं है। ये सड़क पर किसी अजनबी द्वारा दिए गए भोजन को न खाने का डिजिटल संस्करण हैं।
BadUSB और USB सुरक्षा से जुड़ी मुख्य बातें
BadUSB इसलिए परेशान करने वाला है क्योंकि यह बहुत ही साधारण है। इसमें कोई अप्रत्याशित घटना या प्रतिभा की आवश्यकता नहीं है, बस यह मान लेना काफी है कि केबल सिर्फ एक केबल है और कीबोर्ड सिर्फ आप हैं। यह धारणा गलत है, और इसे गलत साबित करने वाले उपकरण की कीमत अब लगभग उतनी ही है जितनी आपके फोन की है जिसे आप चार्ज कर रहे हैं।
क्रिप्टोकरेंसी धारकों के लिए, इस समस्या का समाधान अत्यधिक संदेह से नहीं, बल्कि अनुशासन से ही संभव है। पतों को कंप्यूटर पर नहीं, बल्कि डिवाइस की स्क्रीन पर सत्यापित करें। हार्डवेयर सीधे खरीदें। और अगली बार जब कोई आपको ऐसा केबल दे जो आप साथ नहीं लाए हों, तो खुद से पूछें कि वह क्या बता रहा होगा। आज आप बिना सोचे-समझे कौन सा केबल लगा देते?
