Atak BadUSB: Jak kabel USB staje się klawiaturą
Najbardziej niebezpieczną rzeczą w Twojej torbie może być kabel, któremu najmniej ufasz. Kabel USB, zapasowy dysk flash, „darmowa” ładowarka, którą ktoś zostawił w sali konferencyjnej. Wszystkie wyglądają niegroźnie. Podłącz jednak jeden z nich, a jeśli został on przekształcony w urządzenie BadUSB, Twój komputer w ciągu pierwszej połowy sekundy zrobi coś dziwnego: rozpozna kabel jako klawiaturę i pozwoli mu zacząć pisać.
W tym właśnie tkwi sedno sprawy. BadUSB to nie wirus, którego można wykryć. To cyberatak, który nadużywa domyślnych uprawnień USB, co stanowi jeden z najbardziej podstępnych wektorów ataku w całym cyberbezpieczeństwie. A dla każdego posiadacza kryptowalut, to ciche pisanie może po cichu kosztować portfel. Oto jak to działa, dlaczego tak trudno to powstrzymać i dlaczego użytkownicy kryptowalut znajdują się w samym centrum zainteresowania.
Czym jest atak BadUSB i dlaczego jest niebezpieczny
Każde urządzenie USB, od pendrive'a za 3 dolary po kamerę internetową, działa na maleńkim mikrokontrolerze z własnym oprogramowaniem układowym. To właśnie to oprogramowanie mówi komputerowi: „Jestem klawiaturą” lub „Jestem pamięcią masową”. Atak BadUSB przerabia je, tak że urządzenie kłamie. Dysk flash, który uważasz za zwykłą pamięć masową, po cichu ogłasza się jako klawiatura lub karta sieciowa, a system operacyjny przyjmuje to za pewnik. Bez żadnego komunikatu. Bez ostrzeżenia.
Dlaczego to takie ważne? Ze względu na sposób, w jaki komputery traktują klawiatury. Klawiatura to urządzenie interfejsu użytkownika (HID), a każdy system operacyjny całkowicie ufa danym wejściowym HID. Zakłada, że siedzi tam prawdziwa osoba i naciska prawdziwe klawisze. Dlatego złośliwe urządzenie USB podszywające się pod klawiaturę przejmuje całe to zaufanie i zaczyna wpisywać polecenia z prędkością maszyny.
Sygnał ostrzegawczy 2014 roku
Pomysł ujrzał światło dzienne na konferencji Black Hat USA 2014, kiedy dwaj badacze z SR Labs, Karsten Nohl i Jakob Lell, wyszli na scenę i zaprezentowali go. Ich wystąpienie miało świetny tytuł: „BadUSB — O akcesoriach, które czynią zło”. Normalnie wyglądający dysk, przeprogramowany tak, aby działał jak klawiatura, przechwytywał maszynę, podczas gdy użytkownik nic nie widział. Kilka tygodni później Adam Caudill i Brandon Wilson udostępnili działający kod exploita na konferencji DerbyCon. To był punkt zwrotny. BadUSB przestał być sztuczką laboratoryjną, a stał się czymś, co mógł stworzyć każdy, kto miał wolny weekend.
Dlaczego nie można tego po prostu załatać
Oto część, która wciąż niepokoi osoby odpowiedzialne za bezpieczeństwo. Większość kontrolerów USB akceptuje nowe oprogramowanie układowe bez podpisywania kodu i bez uwierzytelniania. Nic nie sprawdza, czy aktualizacja pochodzi od osoby, której można zaufać. Zatem słabość nie leży w jednym wadliwym programie, który można naprawić. Chodzi o sam model zaufania USB.
Twój program antywirusowy skanuje pliki. BadUSB nie potrzebuje pliku. Złośliwe zachowanie jest wbudowane w oprogramowanie układowe, a sam atak to tylko naciśnięcia klawiszy. Na dysku nie ma niczego, co można by oznaczyć. Właśnie dlatego w pełni zabezpieczony laptop nadal pada ofiarą kabla za 200 dolarów.
Jak atak BadUSB przebiega w ciągu kilku sekund
Wyobraź sobie tę sekwencję. Podłączasz kabel. Komputer wylicza, informując, że to klawiatura, i po sekundzie lub dwóch zaczyna wywoływać naciśnięcia klawiszy z ładunku załadowanego wcześniej przez operatora. Żaden człowiek nie pisze tak szybko. Nikt się do tego nie zbliża.
Typowy ładunek otwiera ukryte okno poleceń lub wiersz poleceń programu PowerShell, zazwyczaj w miejscu, w którym nigdy go nie widzisz, pobiera skrypt z internetu i uruchamia go. Kabel wykonuje pisanie. Internet dostarcza złośliwe oprogramowanie. Zanim spojrzysz na ekran, program jest już gotowy.
Dwie sekundy pisania potrafią zdziałać cuda. Otwórz terminal. Wyłącz monit bezpieczeństwa. Uruchom narzędzie dostępu zdalnego i wciśnij je w autostart, aby przetrwało ponowne uruchomienie. W systemie Windows wystarczy jeden wiersz programu PowerShell, aby pobrać kod z serwera należącego do atakującego i go uruchomić. Skrypt potrafi być cierpliwy. Może czekać do określonej pory dnia lub uruchomić się tylko po odblokowaniu ekranu, dzięki czemu seria naciśnięć klawiszy zlewa się z tym, co już robisz. Twój program antywirusowy nigdy się nie zawaha, ponieważ nic nie pojawiło się jako plik. Pojawiło się jako dane wejściowe.
Dlaczego to ciągle działa? Proste. Możesz zablokować oprogramowanie, ograniczyć instalacje, uruchomić każdy skaner dostępny na rynku. Ale klawiatura jest utożsamiana z Tobą. To jedno założenie jest kluczem do sukcesu, a BadUSB bije je na głowę.
Narzędzia BadUSB, które możesz kupić: Gumowa Kaczuszka i Flipper
Przez lata to przypominało film szpiegowski. Teraz już nie. Sprzęt dostępny w sprzedaży ma funkcję „wstrzykiwania” klawiszy od razu po wyjęciu z pudełka, a ceny są nudno normalne.
USB Rubber Ducky od Hak5 to klasyka: pendrive wyglądający jak pendrive, napisany w prostym języku DuckyScript, stworzonym właśnie do tego celu. Flipper Zero, kieszonkowe narzędzie wielofunkcyjne, które stało się viralem, ma wbudowaną funkcję BadUSB i kosztuje około 169 dolarów. Jest jeszcze O.MG Cable, który powinien Cię najbardziej martwić, ponieważ wcale nie jest pendrivem. To kabel.
Kabel O.MG wygląda identycznie jak zwykły kabel Apple lub USB-C. Wewnątrz kryje układ łączności bezprzewodowej i niewielki interfejs internetowy, z którym operator może połączyć się przez Wi-Fi. Wersja Elite rejestruje naciśnięcia klawiszy z częstotliwością do 890 naciśnięć na sekundę i posiada wbudowany keylogger, który rejestruje do 650 000 naciśnięć. W stanie spoczynku ładuje telefon i przesyła dane jak każdy inny kabel. Nigdy byś się tego nie domyślił. Właśnie o to chodzi.
| Narzędzie | Współczynnik kształtu | Prędkość wtrysku | Sterowanie bezprzewodowe | Przybliżona cena |
|---|---|---|---|---|
| Gumowa kaczuszka USB | Pendrive | Szybko (skrypt) | NIE | ~60 dolarów |
| Flipper Zero | Wielofunkcyjne narzędzie kieszonkowe | Szybko (skrypt) | Ograniczony | ~169 dolarów |
| Kabel O.MG (Elite) | Normalnie wyglądający kabel | Do 890 klawiszy/sek. | Tak (Wi-Fi) | ~200 dolarów |
Dla porównania, podobny implant w przeszłości, taki jak ten, który podobno zbudowały agencje wywiadowcze, kosztował dziesiątki tysięcy dolarów. Kabel O.MG odbudowuje większość tych możliwości za cenę dobrego obiadu. Bariera wejścia praktycznie zniknęła.
Dlaczego posiadacze kryptowalut są głównym celem ataków BadUSB
Większość artykułów kończy się na kwestiach korporacyjnego IT. Chcę pójść dalej, bo jeśli posiadasz kryptowaluty, twój model zagrożenia jest inny i, szczerze mówiąc, nieco gorszy.
Zamiana schowka
Atak BadUSB nie wymaga włamania się do portfela. Wystarczy zmienić jedną rzecz: schowek. Wstrzyknięty ładunek uruchamia porywacza schowka w ciągu kilku sekund. Następnie, za każdym razem, gdy kopiujesz adres kryptowaluty, aby wysłać środki, złośliwe oprogramowanie po cichu podmienia adres atakującego. Wklejasz to, co wygląda poprawnie. Potwierdzasz. Pieniądze lądują w portfelu obcej osoby.
To nie jest teoria. Pewien haker został przyłapany na śledzeniu ponad dwóch milionów adresów Bitcoin i podmienianiu ich w portfelach atakujących w locie. W kampanii z 2024 roku o nazwie GitVenom, fałszywe repozytoria kodu rozsyłały złośliwe oprogramowanie podmieniające adresy i uciekły z około 485 000 dolarów w Bitcoinach. Sztuczka jest paskudna, ponieważ adresy kryptowalut to długie, losowe ciągi znaków, których nikt tak naprawdę nie odczytuje znak po znaku. Sprawdzasz pierwsze cztery, sprawdzasz ostatnie cztery, pasują do siebie, klikasz „wyślij”. Podmiana jest ukryta pośrodku, dokładnie tam, gdzie twój wzrok nigdy nie sięga. A stawka jest ogromna: według Chainalysis , w 2024 roku skradziono kryptowaluty o wartości około 2,2 miliarda dolarów, a naruszenie klucza prywatnego odpowiadało za 43,8% tych strat.
Czy portfel sprzętowy może Ci pomóc?
Generalnie tak, i warto wyjaśnić dlaczego. Ledger lub Trezor blokuje frazę seed w bezpiecznym elemencie. Klucze prywatne są tam tworzone i nigdy z nich nie wychodzą. Tylko podpisana transakcja przechodzi przez przewód USB. Zatem urządzenie BadUSB rozpylające naciśnięcia klawiszy nie może po prostu wpisać polecenia, które wykradnie frazę seed z działającego portfela sprzętowego. Cała architektura została zaprojektowana tak, aby temu zapobiec.
Istnieją jednak dwie poważne luki. Pierwszą z nich jest socjotechnika. W 2021 roku oszuści wysłali fałszywe urządzenia Ledger osobom, których adresy domowe wyciekły w wyniku naruszenia bezpieczeństwa danych Ledgera w 2020 roku. Jak donosi CoinDesk , podrobiony sprzęt był dostarczany z notatką, w której ofiary miały wpisać 24-wyrazową frazę startową w dołączonej aplikacji. Nie było potrzeby stosowania exploita. Wystarczy przekonujące opakowanie i odrobina strachu. Drugą luką jest łańcuch dostaw. Naukowcy z Kraken wykazali, że chip obsługujący USB w portfelu sprzętowym, ten oddzielony od elementu zabezpieczającego, mógł zostać zmanipulowany, zanim urządzenie dotarło do kupującego.
Lekcja nie brzmi: „portfele sprzętowe są bezużyteczne”. To właściwe narzędzie, kropka. Lekcja jest taka, że słaby punkt przenosi się na Ciebie: co kopiujesz, co wpisujesz i skąd w ogóle pochodzi Twoje urządzenie.
Jak powszechne jest naprawdę zagrożenie USB?
Można by pomyśleć, że BadUSB należy zaklasyfikować jako „interesujące, ale rzadkie”. Dane jednak mówią co innego, przynajmniej w odniesieniu do szerszego zagrożenia związanego z USB.
Firma ochroniarska Honeywell śledzi złośliwe oprogramowanie wykrywane w obiektach przemysłowych. W swoim raporcie z 2024 roku Honeywell stwierdził , że 51% wykrytego złośliwego oprogramowania zostało stworzone z myślą o rozprzestrzenianiu się za pośrednictwem USB, w porównaniu z zaledwie 9% w 2019 roku. 82% z tego złośliwego oprogramowania USB może zakłócać działalność przemysłową. USB nie jest martwą powierzchnią ataku. To rozwijająca się powierzchnia.
A czynnik ludzki jest najłatwiejszy do wykorzystania. W jednym z dobrze znanych badań naukowcy z Uniwersytetu Illinois rozrzucili 297 pendrive'ów po kampusie. Ludzie je podnosili i podłączali, pierwszy w ciągu kilku minut. Curiosity wykonuje zadanie atakującego za darmo.
| Odkrycie | Postać | Źródło | Rok |
|---|---|---|---|
| Szkodliwe oprogramowanie OT-site rozprzestrzeniające się przez USB | 51% (w porównaniu z 9% w 2019 r.) | Honeywell | 2024 |
| To złośliwe oprogramowanie USB może zakłócać działanie | 82% | Honeywell | 2024 |
| Skradziono kryptowalutę i udostępniono ją w wyniku naruszenia klucza prywatnego | 2,2 mld dolarów / 43,8% | Analiza łańcuchowa | 2024 |
| Upuszczone dyski USB, które zostały podłączone | Około połowy w ciągu kilku minut | Uniwersytet Illinois | 2016 |
Jedno uczciwe zastrzeżenie. FBI i FCC wydały w 2023 roku publiczne ostrzeżenia przed „juice jackingiem” na stacjach ładowania na lotniskach i w centrach handlowych. Ostrzeżenia te miały charakter prewencyjny i nie ujawniono żadnego poważnego, potwierdzonego przypadku. Mimo to, słabość, na którą wskazują, czyli port ładowania, który może również przesyłać dane, to właśnie to, czego nadużywa BadUSB. Nie chodzi o to, że na każdym lotnisku czeka kabel-pułapka. Chodzi o to, że ten sam port USB przesyła zasilanie i dane na tych samych pinach, więc portowi, którego nie można sprawdzić, nie można w pełni zaufać.
Jak zapobiegać atakom BadUSB i chronić urządzenia kryptograficzne
Dobra wiadomość? Zapobieganie atakom BadUSB jest w większości tanie i działa behawioralnie. Nie potrzebujesz wyszukanego oprogramowania, a jedynie jednego nowego nawyku.
- Nie podłączaj żadnego urządzenia USB ani kabla, którego sam nie kupiłeś lub któremu nie do końca ufasz. Prezenty z konferencji, dysk znaleziony na parkingu, kabel zastępczy – to wszystko stanowi zagrożenie. Traktuj je tak, jak traktujesz igłę obcej osoby.
- Noś przy sobie blokadę danych USB, czasami nazywaną „kondomem USB”, do ładowania w miejscach publicznych. Fizycznie odcina ona piny danych i przekazuje tylko zasilanie, co eliminuje zarówno problem juice jackingu, jak i wstrzykiwania naciśnięć klawiszy przez ten port USB.
- W przypadku kryptowalut, zawsze sprawdzaj pełny adres odbiorczy na ekranie swojego portfela sprzętowego, zanim cokolwiek zatwierdzisz. Ten nawyk niweczy podmianę w schowku, ponieważ adres na zaufanym urządzeniu nie będzie pasował do tego, na który wkradło się złośliwe oprogramowanie.
- Kupuj portfele sprzętowe bezpośrednio od producenta, nigdy od sprzedawców zewnętrznych lub nieznajomych. Nigdy też nie ufaj urządzeniu, które po prostu pojawia się bez zapowiedzi.
- Po stronie punktów końcowych, narzędzia do kontroli urządzeń USB, białej listy HID i zarządzania punktami końcowymi mogą całkowicie uniemożliwić połączenie nierozpoznanym klawiaturom. Na urządzeniach osobistych funkcje takie jak monit Apple „Zezwól akcesoriom na połączenie” lub ustawienie Androida umożliwiające wyłączenie USB podczas blokady zamykają te same drzwi.
Żadne z nich nie jest egzotyczne. To cyfrowa wersja niejedzenia jedzenia, które podaje ci obcy człowiek na ulicy.
Podsumowanie dotyczące BadUSB i bezpieczeństwa USB
BadUSB jest niepokojące właśnie dlatego, że jest tak zwyczajne. Bez zero-day, bez geniuszu, tylko założenie 5 dolarów, że kabel to tylko kabel, a klawiatura to tylko ty. To założenie jest błędne, a sprzęt, który ma je udowodnić, kosztuje teraz mniej więcej tyle, co telefon, który ładujesz.
Dla posiadaczy kryptowalut rozwiązanie nie wymaga paranoi, tylko dyscypliny. Weryfikuj adresy na ekranie urządzenia, a nie na komputerze. Kup sprzęt bezpośrednio. A następnym razem, gdy ktoś zaproponuje ci kabel, którego nie przyniosłeś, zastanów się, co może być na nim napisane. Co podłączyłbyś dzisiaj bez wahania?
