Serangan BadUSB: Bagaimana Kabel USB Menjadi Keyboard
Hal paling berbahaya di dalam tas Anda mungkin adalah kabel yang paling tidak Anda percayai. Kabel USB, flash drive cadangan, pengisi daya "gratis" yang ditinggalkan seseorang di ruang rapat. Semuanya tampak tidak berbahaya. Namun, begitu Anda mencolokkannya, dan jika kabel tersebut telah diubah menjadi perangkat BadUSB, komputer Anda akan melakukan sesuatu yang aneh dalam setengah detik pertama: komputer menganggap kabel tersebut sebagai keyboard dan membiarkannya mulai mengetik.
Itulah triknya. BadUSB bukanlah virus yang bisa Anda pindai. Ini adalah serangan siber yang menyalahgunakan fungsi USB secara default, salah satu vektor serangan paling licik dalam keamanan siber. Dan bagi siapa pun yang memegang kripto, aktivitas pengetikan senyap itu dapat secara diam-diam merugikan dompet Anda. Berikut cara kerjanya, mengapa sangat sulit untuk menghentikannya, dan mengapa pengguna kripto berada tepat di radius ledakannya.
Apa Itu Serangan BadUSB dan Mengapa Berbahaya?
Setiap perangkat USB, dari flash drive seharga $3 hingga webcam, berjalan pada mikrokontroler kecil dengan firmware-nya sendiri. Firmware itulah yang memberi tahu komputer Anda "Saya adalah keyboard" atau "Saya adalah penyimpanan." Serangan BadUSB menulis ulang firmware tersebut sehingga perangkat tersebut berbohong. Flash drive yang Anda kira hanya sebagai penyimpanan diam-diam mengumumkan dirinya sebagai keyboard, atau kartu jaringan, dan sistem operasi menerimanya begitu saja. Tanpa pemberitahuan. Tanpa peringatan.
Mengapa hal itu sangat penting? Karena cara komputer memperlakukan keyboard. Keyboard adalah Perangkat Antarmuka Manusia (Human Interface Device/HID), dan setiap sistem operasi sepenuhnya mempercayai input HID. Sistem operasi menganggap ada orang sungguhan yang duduk di sana, menekan tombol sungguhan. Jadi, perangkat USB berbahaya yang menyamar sebagai keyboard mewarisi semua kepercayaan itu, dan mulai mengetik perintah dengan kecepatan mesin.
Peringatan tahun 2014
Ide tersebut dipublikasikan di Black Hat USA 2014, ketika dua peneliti SR Labs, Karsten Nohl dan Jakob Lell, naik panggung dan memamerkannya. Presentasi mereka memiliki judul yang bagus: "BadUSB — Tentang Aksesori yang Berubah Menjadi Jahat." Sebuah drive yang tampak normal, diprogram ulang untuk bertindak sebagai keyboard, membajak mesin sementara pengguna tidak melihat apa pun. Beberapa minggu kemudian, Adam Caudill dan Brandon Wilson merilis kode eksploitasi yang berfungsi di DerbyCon. Itulah titik baliknya. BadUSB berhenti menjadi trik laboratorium dan menjadi sesuatu yang dapat dibangun oleh siapa pun yang memiliki waktu luang di akhir pekan.
Mengapa Anda tidak bisa sekadar memperbaikinya dengan menambalnya?
Inilah bagian yang masih mengganggu para ahli keamanan. Sebagian besar pengontrol USB menerima firmware baru tanpa penandatanganan kode dan tanpa otentikasi sama sekali. Tidak ada yang memeriksa apakah pembaruan tersebut berasal dari pihak yang seharusnya Anda percayai. Jadi kelemahannya bukanlah satu program yang bermasalah yang dapat Anda tambal. Kelemahannya terletak pada model kepercayaan USB itu sendiri.
Antivirus Anda memindai file. BadUSB tidak membutuhkan file. Perilaku jahatnya sudah tertanam dalam firmware, dan serangannya sendiri hanya berupa penekanan tombol. Tidak ada yang tersimpan di disk untuk ditandai. Itulah mengapa laptop yang sudah sepenuhnya diperbarui dan dilindungi pun masih bisa diretas oleh kabel seharga $200.
Bagaimana Serangan BadUSB Berlangsung dalam Hitungan Detik
Bayangkan urutannya. Anda mencolokkan kabel. Kabel tersebut terdeteksi, memberi tahu komputer bahwa itu adalah keyboard, dan dalam satu atau dua detik komputer mulai mengetikkan data yang telah dimuat operator sebelumnya. Tidak ada manusia yang bisa mengetik secepat ini. Tidak ada yang bisa mendekati kecepatan ini.
Muatan berbahaya (payload) biasanya membuka jendela perintah tersembunyi atau prompt PowerShell, biasanya di tempat yang tidak pernah Anda lihat, mengambil skrip dari internet, dan menjalankannya. Kabel yang melakukan pengetikan. Internet menyediakan malware. Pada saat Anda melirik layar, prosesnya sudah selesai.
Dua detik mengetik sudah sangat berpengaruh. Buka terminal. Tutup prompt keamanan. Unduh alat akses jarak jauh dan selipkan ke dalam program startup agar tetap berjalan setelah reboot. Di Windows, satu baris PowerShell saja sudah cukup untuk mengambil kode dari server milik penyerang dan menjalankannya. Dan skrip tersebut bisa bersabar. Ia dapat menunggu hingga waktu tertentu, atau hanya dijalankan saat layar tidak terkunci, sehingga serangkaian penekanan tombol menyatu dengan apa pun yang sedang Anda lakukan. Antivirus Anda tidak akan pernah bereaksi, karena tidak ada yang datang sebagai file. Itu datang sebagai input.
Mengapa ini terus berhasil? Sederhana saja. Anda dapat mengunci perangkat lunak, membatasi instalasi, menjalankan setiap pemindai di pasaran. Tetapi keyboard diasumsikan sebagai Anda. Asumsi itulah inti dari permainan ini, dan BadUSB mengalahkannya berdasarkan definisinya.
Alat BadUSB yang Dapat Anda Beli: Rubber Ducky hingga Flipper
Selama bertahun-tahun, ini terasa seperti wilayah film mata-mata. Tapi tidak lagi. Perangkat yang tersedia di pasaran dapat melakukan injeksi penekanan tombol langsung dari kotaknya, dan harganya sangat normal.
USB Rubber Ducky dari Hak5 adalah produk klasik: sebuah stik yang menyerupai flash drive, diprogram dalam bahasa sederhana bernama DuckyScript, yang memang dirancang untuk tujuan ini. Flipper Zero, sebuah alat multifungsi saku yang menjadi viral, dilengkapi dengan fitur BadUSB dan dijual dengan harga sekitar $169. Dan kemudian ada O.MG Cable, yang seharusnya paling membuat Anda khawatir, karena ini sama sekali bukan drive. Ini adalah kabel.
Kabel O.MG terlihat identik dengan kabel Apple atau USB-C biasa. Di dalamnya terdapat chip nirkabel dan antarmuka web kecil yang dapat diakses operator melalui Wi-Fi. Versi Elite mengirimkan penekanan tombol hingga 890 per detik dan menyimpan keylogger internal hingga 650.000 data. Saat tidak digunakan, kabel ini mengisi daya ponsel Anda dan mentransfer data seperti kabel lainnya. Anda tidak akan pernah tahu. Itulah intinya.
| Alat | Faktor bentuk | Kecepatan injeksi | Kontrol nirkabel | Perkiraan harga |
|---|---|---|---|---|
| Bebek Karet USB | Flash drive stick | Cepat (berdasarkan skrip) | TIDAK | ~$60 |
| Flipper Nol | Alat multifungsi saku | Cepat (berdasarkan skrip) | Terbatas | ~$169 |
| Kabel O.MG (Elite) | Kabel yang tampak normal | Hingga 890 tombol/detik | Ya (Wi-Fi) | ~$200 |
Sebagai perbandingan, implan serupa di masa lalu, yang dilaporkan dibuat oleh badan intelijen, harganya mencapai puluhan ribu dolar. O.MG Cable membangun kembali sebagian besar kemampuan tersebut dengan harga setara makan malam yang enak. Hambatan untuk masuk ke pasar ini pada dasarnya telah lenyap.
Mengapa Pemegang Kripto Menjadi Target Utama BadUSB?
Sebagian besar tulisan hanya berhenti pada sudut pandang TI perusahaan. Saya ingin membahas hal yang lebih mendalam, karena jika Anda memegang aset kripto, model ancaman Anda berbeda, dan jujur saja, sedikit lebih buruk.
Pertukaran papan klip
Serangan BadUSB tidak perlu meretas dompet Anda. Serangan ini hanya perlu mengubah satu hal: clipboard Anda. Muatan berbahaya yang disuntikkan akan menjatuhkan pembajak clipboard dalam hitungan detik. Setelah itu, setiap kali Anda menyalin alamat kripto untuk mengirim dana, malware akan diam-diam mengganti alamat tersebut dengan alamat penyerang. Anda menempelkan alamat yang terlihat benar. Anda mengkonfirmasi. Uang tersebut masuk ke dompet orang asing.
Ini bukan teori. Seorang peretas yang menggunakan clipboard tertangkap sedang memantau lebih dari dua juta alamat Bitcoin, menukar alamat di dompet penyerang secara langsung. Dalam kampanye tahun 2024 yang dijuluki GitVenom, repositori kode palsu mengirimkan malware penukar alamat dan berhasil mencuri sekitar $485.000 dalam Bitcoin. Trik ini berbahaya karena alamat kripto adalah rangkaian panjang dan acak yang sebenarnya tidak dibaca karakter demi karakter oleh siapa pun. Anda memeriksa empat karakter pertama, Anda memeriksa empat karakter terakhir, jika cocok, Anda menekan kirim. Penukaran alamat tersembunyi di tengah, tepat di tempat yang tidak pernah Anda lihat. Dan risikonya sangat besar: menurut Chainalysis , sekitar $2,2 miliar dalam kripto dicuri pada tahun 2024, dengan kompromi kunci pribadi menjadi penyebab 43,8% dari kerugian tersebut.
Apakah dompet perangkat keras menyelamatkan Anda?
Sebagian besar, ya, dan perlu dijelaskan mengapa. Ledger atau Trezor mengunci frasa kunci Anda di dalam Secure Element. Kunci pribadi dibuat di sana dan tidak pernah keluar. Hanya transaksi yang ditandatangani yang pernah melewati kabel USB. Jadi, perangkat BadUSB yang mengirimkan banyak ketikan tidak dapat begitu saja mengetikkan perintah yang mengambil frasa kunci Anda dari dompet perangkat keras yang berfungsi. Seluruh arsitektur dibangun untuk menolak hal itu.
Namun ada dua celah nyata. Yang pertama adalah rekayasa sosial. Pada tahun 2021, penipu mengirimkan perangkat Ledger palsu kepada orang-orang yang alamat rumahnya bocor dalam pelanggaran data Ledger tahun 2020. Perangkat keras palsu tersebut dikirimkan dengan catatan yang memberitahu korban untuk mengetikkan frasa kunci 24 kata mereka ke dalam aplikasi yang disertakan, seperti yang dilaporkan CoinDesk . Tidak diperlukan eksploitasi. Hanya paket yang meyakinkan dan sedikit rasa takut. Celah kedua adalah rantai pasokan. Para peneliti di Kraken menunjukkan bahwa chip yang menangani USB pada dompet perangkat keras, yang terpisah dari Secure Element, dapat dimanipulasi sebelum perangkat tersebut sampai ke pembeli.
Pelajarannya bukanlah "dompet perangkat keras tidak berguna." Itu adalah alat yang tepat, titik. Pelajarannya adalah titik lemahnya bergeser ke Anda: apa yang Anda salin, apa yang Anda ketik, dan dari mana perangkat Anda berasal sejak awal.
Seberapa Umumkah Ancaman USB Sebenarnya?
Sangatlah menggoda untuk mengkategorikan BadUSB sebagai "menarik, tetapi jarang terjadi." Namun data menunjukkan sebaliknya, setidaknya untuk ancaman USB yang lebih luas.
Perusahaan keamanan Honeywell melacak malware yang ditemukan di lokasi industri. Dalam laporan tahun 2024, Honeywell menemukan bahwa 51% dari malware yang mereka tangkap dirancang untuk menyebar melalui USB, meningkat dari hanya 9% pada tahun 2019. Dari malware USB tersebut, 82% dapat mengganggu operasi industri. USB bukanlah permukaan serangan yang mati. Ini adalah permukaan serangan yang terus berkembang.
Dan faktor manusia adalah bagian yang paling mudah dieksploitasi. Dalam sebuah studi terkenal, para peneliti dari Universitas Illinois menyebarkan 297 drive USB di sekitar kampus. Orang-orang mengambilnya dan mencolokkannya, yang pertama dalam hitungan menit. Rasa ingin tahu melakukan pekerjaan penyerang secara cuma-cuma.
| Temuan | Angka | Sumber | Tahun |
|---|---|---|---|
| Malware situs OT yang menyebar melalui USB | 51% (naik dari 9% pada tahun 2019) | Honeywell | Tahun 2024 |
| Malware USB tersebut mampu mengganggu operasional. | 82% | Honeywell | Tahun 2024 |
| Kripto dicuri, sebagian hasil dari peretasan kunci pribadi. | $2,2 miliar / 43,8% | Analisis Rantai | Tahun 2024 |
| USB drive yang terjatuh saat dicolokkan | Sekitar setengahnya, dalam hitungan menit | Universitas Illinois | Tahun 2016 |
Satu catatan penting di sini. FBI dan FCC sama-sama mengeluarkan peringatan publik pada tahun 2023 tentang "juice jacking" di stasiun pengisian daya bandara dan pusat perbelanjaan. Peringatan tersebut bersifat pencegahan, dan belum ada kasus besar yang terkonfirmasi muncul di publik. Namun, kelemahan yang mereka tunjuk, yaitu port pengisian daya yang juga dapat mentransfer data, persis seperti yang disalahgunakan oleh BadUSB. Intinya bukanlah kabel yang dipasangi jebakan menunggu di setiap bandara. Melainkan port USB yang sama membawa daya dan data pada pin yang sama, sehingga port yang tidak dapat Anda periksa adalah port yang tidak dapat Anda percayai sepenuhnya.
Cara Mencegah Serangan BadUSB dan Melindungi Kripto
Kabar baiknya? Pencegahan serangan BadUSB sebagian besar murah dan bersifat perilaku. Anda tidak memerlukan perangkat lunak canggih, melainkan satu kebiasaan baru.
- Jangan colokkan perangkat atau kabel USB apa pun yang tidak Anda beli sendiri atau yang tidak sepenuhnya Anda percayai. Barang pemberian konferensi, hard drive yang Anda temukan di tempat parkir, kabel pinjaman, itu semua adalah ancaman. Perlakukan mereka seperti Anda memperlakukan jarum suntik orang asing.
- Bawalah pemblokir data USB, yang terkadang disebut "kondom USB," untuk mengisi daya di tempat umum. Alat ini secara fisik memutus pin data dan hanya mengalirkan daya, yang mencegah pencurian data melalui port USB tersebut dan penyuntikan data melalui penekanan tombol.
- Khusus untuk kripto, selalu periksa alamat penerima lengkap di layar dompet perangkat keras Anda sebelum menyetujui apa pun. Kebiasaan itu akan menggagalkan upaya pertukaran data melalui clipboard, karena alamat pada perangkat tepercaya tidak akan cocok dengan alamat yang diselipkan oleh malware.
- Belilah dompet perangkat keras langsung dari produsennya, jangan pernah dari penjual pihak ketiga atau orang asing, dan jangan pernah mempercayai perangkat yang tiba-tiba muncul tanpa pemberitahuan.
- Di sisi perangkat akhir, kontrol perangkat USB, daftar putih HID, dan alat manajemen perangkat akhir dapat mencegah keyboard yang tidak dikenal terhubung sama sekali. Pada perangkat pribadi, fitur seperti perintah "Izinkan aksesori untuk terhubung" dari Apple, atau pengaturan USB mati saat terkunci pada Android, menutup celah yang sama.
Tak satu pun dari ini yang eksotis. Ini adalah versi digital dari tidak memakan makanan yang diberikan orang asing di jalan.
Kesimpulan tentang BadUSB dan Keamanan USB
BadUSB meresahkan justru karena begitu biasa. Tidak ada celah keamanan, tidak perlu kejeniusan, hanya asumsi seharga $5 bahwa kabel hanyalah kabel dan keyboard hanyalah diri Anda sendiri. Asumsi itu salah, dan perangkat untuk membuktikannya salah sekarang harganya hampir sama dengan harga ponsel yang Anda isi dayanya.
Bagi pemegang kripto, solusinya tidak memerlukan paranoia, hanya disiplin. Verifikasi alamat di layar perangkat, bukan di komputer. Beli perangkat keras Anda langsung dari pemasok. Dan lain kali seseorang menawarkan kabel yang tidak Anda bawa, tanyakan pada diri sendiri apa yang mungkin sedang diketik kabel tersebut. Apa yang akan Anda colokkan hari ini tanpa berpikir dua kali?
