BadUSB Attack: come un cavo USB si trasforma in una tastiera
L'oggetto più pericoloso nella tua borsa potrebbe essere il cavo di cui ti fidi meno. Un cavo USB, una chiavetta USB di riserva, il caricabatterie "gratuito" lasciato da qualcuno in una sala riunioni. Sembrano tutti innocui. Ma se ne colleghi uno, e se è stato trasformato in un dispositivo BadUSB, il tuo computer farà qualcosa di strano nel primo mezzo secondo: riconoscerà il cavo come una tastiera e gli permetterà di iniziare a digitare.
Ecco il trucco. BadUSB non è un virus che si può rilevare con una scansione. Si tratta di un attacco informatico che sfrutta le funzionalità predefinite dell'USB, uno dei vettori di attacco più insidiosi in ambito di sicurezza informatica. E per chiunque possieda criptovalute, questa digitazione silenziosa può costare cara. Ecco come funziona, perché è così difficile da fermare e perché gli utenti di criptovalute si trovano proprio nel raggio d'azione dell'attacco.
Cos'è un attacco BadUSB e perché è pericoloso?
Ogni dispositivo USB, da una chiavetta da 3 dollari a una webcam, funziona con un minuscolo microcontrollore dotato di un proprio firmware. È questo firmware che comunica al computer "Sono una tastiera" o "Sono un dispositivo di archiviazione". Un attacco BadUSB lo riscrive, in modo che il dispositivo menta. La chiavetta USB che credete sia solo un dispositivo di archiviazione si presenta silenziosamente come una tastiera o una scheda di rete, e il sistema operativo le crede senza battere ciglio. Nessun avviso. Nessun preavviso.
Perché è così importante? Per via del modo in cui i computer trattano le tastiere. Una tastiera è un dispositivo di interfaccia umana (HID) e ogni sistema operativo si fida completamente dell'input HID. Presuppone che una persona reale sia seduta lì a premere tasti reali. Quindi un dispositivo USB dannoso che si spaccia per una tastiera eredita tutta questa fiducia e inizia a digitare comandi alla velocità della macchina.
La sveglia del 2014
L'idea è diventata di dominio pubblico al Black Hat USA 2014, quando due ricercatori di SR Labs, Karsten Nohl e Jakob Lell, sono saliti sul palco e l'hanno presentata. Il loro intervento aveva un titolo azzeccato: "BadUSB - Accessori che diventano malvagi". Un'unità dall'aspetto normale, riprogrammata per funzionare come una tastiera, che dirottava un computer senza che l'utente se ne accorgesse. Poche settimane dopo, Adam Caudill e Brandon Wilson hanno pubblicato un codice exploit funzionante al DerbyCon. Quello è stato il punto di svolta. BadUSB ha smesso di essere un esperimento da laboratorio ed è diventato qualcosa che chiunque con un fine settimana libero poteva realizzare.
Perché non puoi semplicemente applicarci una patch?
Ecco il punto che continua a preoccupare gli esperti di sicurezza. La maggior parte dei controller USB accetta nuovi firmware senza firma digitale e senza alcuna autenticazione. Nulla verifica che l'aggiornamento provenga da una fonte affidabile. Quindi la vulnerabilità non risiede in un singolo programma difettoso che si può correggere, ma nel modello di fiducia USB stesso.
Il tuo antivirus analizza i file. BadUSB non ha bisogno di file. Il comportamento dannoso è integrato nel firmware e l'attacco consiste semplicemente nella pressione di tasti. Non viene salvato nulla sul disco per segnalarlo. Ecco perché un laptop completamente aggiornato e protetto può comunque essere attaccato da un cavo da 200 dollari.
Come si svolge un attacco BadUSB in pochi secondi
Immaginate la sequenza. Collegate il cavo. Il dispositivo lo rileva, comunicando al computer che si tratta di una tastiera, e nel giro di un secondo o due inizia a inviare i tasti preimpostati da un sistema che l'operatore ha caricato in precedenza. Nessun essere umano digita così velocemente. Nessuno si avvicina minimamente.
Un tipico payload apre una finestra di comando nascosta o un prompt di PowerShell, di solito in una posizione che non vedi mai, scarica uno script da Internet e lo esegue. Il cavo si occupa di digitare. Internet fornisce il malware. Nel momento in cui dai un'occhiata allo schermo, è già tutto fatto.
Bastano due secondi di digitazione per ottenere grandi risultati. Apri un terminale. Chiudi una finestra di dialogo di sicurezza. Scarica uno strumento di accesso remoto e configuralo per l'avvio automatico, in modo che sopravviva al riavvio del sistema. Su Windows, una singola riga di PowerShell è sufficiente per prelevare codice da un server controllato dall'attaccante ed eseguirlo. E lo script può essere paziente. Può attendere un determinato orario o attivarsi solo allo sblocco dello schermo, in modo che la raffica di tasti si mimetizzi con qualsiasi altra attività in corso. Il tuo antivirus non si accorge di nulla, perché non è arrivato alcun file, ma un input.
Perché continua a funzionare? Semplice. Puoi bloccare i software, limitare le installazioni, eseguire tutti gli scanner sul mercato. Ma una tastiera viene automaticamente identificata con te. Questa singola ipotesi è fondamentale, e BadUSB la aggira per definizione.
Strumenti BadUSB che puoi acquistare: da paperella di gomma a flipper
Per anni, tutto questo è sembrato un territorio da film di spionaggio. Non più. Le apparecchiature standard permettono l'iniezione di codice tramite tasti direttamente dalla confezione, e i prezzi sono decisamente normali.
La USB Rubber Ducky di Hak5 è un classico: una chiavetta che sembra una normale unità flash, programmata in un linguaggio semplice chiamato DuckyScript, pensata proprio per questo scopo. Il Flipper Zero, un multiutensile tascabile diventato virale, include una funzione BadUSB integrata e costa circa 169 dollari. E poi c'è l'O.MG Cable, quello che dovrebbe preoccuparvi di più, perché non è affatto un'unità. È un cavo.
Il cavo O.MG sembra identico a un normale cavo Apple o USB-C. Al suo interno si nasconde un chip wireless e una piccola interfaccia web a cui l'utente accede tramite Wi-Fi. La versione Elite registra fino a 890 pressioni di tasti al secondo e integra un keylogger in grado di memorizzarne fino a 650.000. Inattivo, ricarica il telefono e trasferisce dati come un qualsiasi altro cavo. Non te ne accorgeresti mai. Ed è proprio questo il suo punto di forza.
| Attrezzo | Fattore di forma | Velocità di iniezione | controllo wireless | Prezzo approssimativo |
|---|---|---|---|---|
| Paperella di gomma USB | chiavetta USB | Veloce (con copione) | NO | Circa 60 dollari |
| Flipper Zero | Multitool tascabile | Veloce (con copione) | Limitato | Circa 169 dollari |
| Cavo O.MG (Elite) | cavo dall'aspetto normale | Fino a 890 tasti/sec | Sì (Wi-Fi) | Circa 200 dollari |
Per dare un'idea delle proporzioni, un impianto simile in passato, del tipo che si dice fosse costruito dalle agenzie di intelligence, costava decine di migliaia di dollari. Il cavo O.MG ricostruisce gran parte di quelle capacità al prezzo di una bella cena. La barriera d'ingresso è praticamente scomparsa.
Perché i detentori di criptovalute sono un bersaglio privilegiato per BadUSB
La maggior parte degli articoli si ferma all'aspetto informatico aziendale. Io voglio andare oltre, perché se possiedi criptovalute, il tuo modello di minaccia è diverso e, onestamente, un po' più grave.
Lo scambio degli appunti
Un attacco BadUSB non ha bisogno di violare il tuo portafoglio. Deve solo cambiare una cosa: gli appunti. Il payload iniettato installa un dirottatore degli appunti in pochi secondi. Dopodiché, ogni volta che copi un indirizzo di criptovalute per inviare fondi, il malware sostituisce silenziosamente l'indirizzo con quello dell'attaccante. Incolli quello che sembra corretto. Confermi. Il denaro finisce nel portafoglio di uno sconosciuto.
Non si tratta di una teoria. Un hacker è stato sorpreso a monitorare oltre due milioni di indirizzi Bitcoin, sostituendoli al volo con quelli di altri hacker. In una campagna del 2024 soprannominata GitVenom, falsi repository di codice hanno diffuso malware per lo scambio di indirizzi, rubando circa 485.000 dollari in Bitcoin. Il trucco è subdolo perché gli indirizzi di criptovalute sono lunghe stringhe casuali che nessuno legge carattere per carattere. Si controllano i primi quattro, poi gli ultimi quattro, se corrispondono, si preme invia. Lo scambio si nasconde nel mezzo, esattamente dove non si posa mai lo sguardo. E la posta in gioco è altissima: secondo Chainalysis , nel 2024 sono stati rubati circa 2,2 miliardi di dollari in criptovalute, e il 43,8% di queste perdite è stato causato dalla compromissione delle chiavi private.
Un portafoglio hardware può davvero salvarti?
Nella maggior parte dei casi sì, ed è importante chiarire il perché. Un Ledger o un Trezor bloccano la frase di recupero all'interno di un elemento di sicurezza (Secure Element). Le chiavi private vengono create lì e non ne escono mai. Solo una transazione firmata attraversa il cavo USB. Quindi un dispositivo BadUSB che digita a caso non può semplicemente digitare un comando che sottragga la frase di recupero da un portafoglio hardware funzionante. L'intera architettura è progettata proprio per impedire una cosa del genere.
Ci sono però due punti deboli fondamentali. Il primo è l'ingegneria sociale. Nel 2021, dei truffatori hanno inviato dispositivi Ledger contraffatti a persone i cui indirizzi di casa erano stati divulgati a seguito della violazione dei dati di Ledger del 2020. L'hardware contraffatto veniva spedito con un biglietto che invitava le vittime a inserire la loro frase di recupero di 24 parole in un'app allegata, come riportato da CoinDesk . Non era necessario alcun exploit. Solo una confezione convincente e un po' di paura. Il secondo punto debole è la catena di approvvigionamento. I ricercatori di Kraken hanno dimostrato che il chip che gestisce l'USB su un portafoglio hardware, quello separato dall'elemento di sicurezza, poteva essere manomesso prima ancora che il dispositivo raggiungesse l'acquirente.
La lezione non è che "i portafogli hardware sono inutili". Sono lo strumento giusto, punto e basta. La lezione è che il punto debole si sposta su di te: su ciò che copi, su ciò che digiti e, in primo luogo, sulla provenienza del tuo dispositivo.
Quanto è diffusa, in realtà, la minaccia USB?
Sarebbe facile liquidare BadUSB come un fenomeno "interessante, ma raro". I dati, tuttavia, dicono il contrario, almeno per quanto riguarda la minaccia più ampia rappresentata dalle porte USB.
L'azienda di sicurezza Honeywell monitora i malware rilevati negli impianti industriali. Nel suo rapporto del 2024, Honeywell ha scoperto che il 51% dei malware intercettati era progettato per diffondersi tramite USB, rispetto al solo 9% del 2019. Di questi malware USB, l'82% potrebbe interrompere le operazioni industriali. Le porte USB non rappresentano una superficie di attacco inattiva, bensì in continua espansione.
E il fattore umano è l'aspetto più facile da sfruttare. In un noto studio, i ricercatori dell'Università dell'Illinois hanno sparso 297 chiavette USB in tutto il campus. Le persone le hanno raccolte e inserite, la prima nel giro di pochi minuti. La curiosità fa il lavoro dell'attaccante gratuitamente.
| Trovare | Figura | Fonte | Anno |
|---|---|---|---|
| Malware del sito OT che si diffonde tramite USB | 51% (in aumento rispetto al 9% del 2019) | Honeywell | 2024 |
| Quel malware USB è in grado di interrompere le operazioni | 82% | Honeywell | 2024 |
| Criptovalute rubate, quotazioni derivanti da compromissione della chiave privata | 2,2 miliardi di dollari / 43,8% | Analisi a catena | 2024 |
| Unità USB cadute che vengono collegate | Circa la metà, entro pochi minuti | Università dell'Illinois | 2016 |
Un'onesta precisazione. Sia l'FBI che la FCC hanno emesso avvisi pubblici nel 2023 riguardo al "juice jacking" presso le stazioni di ricarica negli aeroporti e nei centri commerciali. Tali avvisi erano a scopo precauzionale e non sono emersi casi confermati di rilievo. Tuttavia, la vulnerabilità evidenziata, ovvero una porta di ricarica che può anche trasferire dati, è esattamente ciò di cui BadUSB abusa. Il punto non è che un cavo trappola si trovi in ogni aeroporto. Il punto è che la stessa porta USB trasporta alimentazione e dati sugli stessi pin, quindi una porta che non si può ispezionare è una porta di cui non ci si può fidare completamente.
Come prevenire gli attacchi BadUSB e proteggere le criptovalute
La buona notizia? Prevenire gli attacchi BadUSB è per lo più economico e si basa su cambiamenti comportamentali. Non servono software sofisticati, quanto piuttosto una nuova abitudine.
- Non collegare dispositivi o cavi USB che non hai acquistato personalmente o di cui non ti fidi completamente. Il gadget ricevuto in omaggio alla conferenza, la chiavetta USB trovata nel parcheggio, il cavo prestato: questi sono i potenziali pericoli. Trattali come tratteresti l'ago di uno sconosciuto.
- Portate sempre con voi un bloccante dati USB, a volte chiamato "preservativo USB", per quando ricaricate il vostro dispositivo in pubblico. Questo dispositivo interrompe fisicamente i pin di trasmissione dati e lascia passare solo l'alimentazione, impedendo così sia il "juice jacking" (scaricare energia) che l'iniezione di codice tramite la porta USB.
- Nello specifico, per quanto riguarda le criptovalute, controlla sempre l'indirizzo di ricezione completo sullo schermo del tuo portafoglio hardware prima di approvare qualsiasi transazione. Questa semplice abitudine neutralizza lo scambio di dati dagli appunti, perché l'indirizzo sul dispositivo affidabile non corrisponderà a quello inserito dal malware.
- Acquista i portafogli hardware direttamente dal produttore, mai da rivenditori terzi o sconosciuti, e non fidarti mai di un dispositivo che compare all'improvviso senza preavviso.
- Sul lato endpoint, il controllo dei dispositivi USB, la whitelist HID e gli strumenti di gestione degli endpoint possono impedire completamente la connessione di tastiere non riconosciute. Sui dispositivi personali, funzionalità come la richiesta "Consenti la connessione di accessori" di Apple o l'impostazione "USB disattivata quando bloccato" di Android, impediscono lo stesso problema.
Nessuna di queste cose è esotica. Sono la versione digitale del non mangiare il cibo che uno sconosciuto ti offre per strada.
Conclusioni su BadUSB e la sicurezza USB
BadUSB è inquietante proprio perché è così ordinario. Nessuna vulnerabilità zero-day, nessun genio richiesto, solo una supposizione da 5 dollari secondo cui un cavo è solo un cavo e una tastiera sei solo tu. Questa supposizione è sbagliata, e l'attrezzatura per dimostrarlo ora costa più o meno quanto il telefono che stai caricando.
Per chi possiede criptovalute, la soluzione non richiede paranoia, ma solo disciplina. Verificate gli indirizzi sullo schermo del dispositivo, non sul computer. Acquistate l'hardware direttamente dal produttore. E la prossima volta che qualcuno vi offre un cavo che non avete portato con voi, chiedetevi cosa potrebbe contenere. Cosa avreste collegato oggi senza pensarci due volte?
