Атака BadUSB: как USB-кабель превращается в клавиатуру
Самым опасным предметом в вашей сумке может оказаться кабель, которому вы меньше всего доверяете. USB-кабель, запасная флешка, «бесплатное» зарядное устройство, оставленное кем-то в конференц-зале. Все они выглядят безобидно. Но стоит подключить один из них, и если он превратился в вредоносное USB-устройство, ваш компьютер в первую же секунду начнет вести себя странно: он распознает кабель как клавиатуру и позволяет начать набор текста.
В этом и вся хитрость. BadUSB — это не вирус, который можно проверить с помощью сканера. Это кибератака, которая использует возможности USB по умолчанию, один из самых коварных векторов атаки в сфере кибербезопасности. И для любого, кто хранит криптовалюту, этот незаметный ввод может незаметно стоить вам кошелька. Вот как это работает, почему это так сложно остановить и почему пользователи криптовалюты находятся в зоне поражения.
Что такое атака BadUSB и почему она опасна?
Каждое USB-устройство, от флешки за 3 доллара до веб-камеры, работает на крошечном микроконтроллере со своей собственной прошивкой. Именно эта прошивка сообщает вашему компьютеру: «Я — клавиатура» или «Я — накопитель». Атака BadUSB переписывает её, заставляя устройство лгать. Флешка, которую вы считаете просто накопителем, незаметно объявляет себя клавиатурой или сетевой картой, и операционная система принимает это на веру. Никакого запроса. Никакого предупреждения.
Почему это так важно? Из-за того, как компьютеры обрабатывают клавиатуры. Клавиатура — это устройство ввода данных, и каждая операционная система полностью доверяет вводу данных с такого устройства. Она предполагает, что за ней сидит реальный человек и нажимает реальные клавиши. Поэтому вредоносное USB-устройство, выдающее себя за клавиатуру, наследует всё это доверие и начинает вводить команды со скоростью, характерной для машинного ввода.
Тревожный звонок 2014 года
Идея стала достоянием общественности на конференции Black Hat USA 2014, когда два исследователя из SR Labs, Карстен Ноль и Якоб Лелл, вышли на сцену и продемонстрировали её. Их доклад получил отличное название: «BadUSB — об аксессуарах, которые становятся злом». Обычный на вид накопитель, перепрограммированный для работы в качестве клавиатуры, захватывал управление машиной, в то время как пользователь ничего не видел. Несколько недель спустя Адам Каудилл и Брэндон Уилсон представили рабочий эксплойт-код на DerbyCon. Это стало поворотным моментом. BadUSB перестал быть просто лабораторной уловкой и стал чем-то, что мог создать любой, у кого есть свободные выходные.
Почему нельзя просто установить патч?
Вот что до сих пор беспокоит специалистов по безопасности. Большинство USB-контроллеров принимают новые прошивки без цифровой подписи и аутентификации. Ничто не проверяет, действительно ли обновление поступило от того, кому можно доверять. Таким образом, уязвимость заключается не в какой-то одной глючной программе, которую можно исправить. Она кроется в самой модели доверия USB.
Ваш антивирус сканирует файлы. BadUSB не нуждается в файле. Вредоносное поведение заложено в прошивку, а сама атака — это всего лишь нажатия клавиш. На диск не попадает ничего, что можно было бы пометить. Вот почему даже полностью защищенный и пропатченный ноутбук может быть атакован кабелем за 200 долларов.
Как за считанные секунды происходит атака с использованием BadUSB
Представьте себе последовательность действий. Вы подключаете кабель. Устройство идентифицируется, сообщая компьютеру, что это клавиатура, и через секунду-две начинает обрабатывать нажатия клавиш с помощью данных, которые оператор загрузил заранее. Ни один человек не печатает так быстро. Никто и близко не может с этим сравниться.
Типичная вредоносная программа открывает скрытое окно командной строки или приглашение PowerShell, обычно в таком месте, где вы его никогда не увидите, загружает скрипт из интернета и запускает его. Кабель вводит текст, а интернет предоставляет вредоносное ПО. К тому моменту, как вы взглянете на экран, все уже сделано.
Две секунды набора текста могут многое изменить. Откройте терминал. Закройте приглашение безопасности. Загрузите инструмент удаленного доступа и внедрите его в автозагрузку, чтобы он сохранился после перезагрузки. В Windows достаточно одной строки PowerShell, чтобы получить код с сервера, принадлежащего злоумышленнику, и запустить его. И скрипт может быть терпеливым. Он может дождаться определенного времени суток или запуститься только после разблокировки экрана, чтобы серия нажатий клавиш слилась с тем, что вы уже делали. Ваш антивирус никогда не дрогнет, потому что ничего не пришло в виде файла. Оно пришло в виде входных данных.
Почему это продолжает работать? Всё просто. Вы можете блокировать программное обеспечение, ограничивать установку, запускать все существующие сканеры. Но предполагается, что вы используете клавиатуру. Это единственное предположение — вся игра, и BadUSB по определению её выигрывает.
Инструменты BadUSB, которые можно купить: от резиновой уточки до флиппера.
Долгое время это напоминало сцену из шпионского фильма. Но теперь всё изменилось. Готовые устройства позволяют вводить данные прямо из коробки, а цены вполне обычные.
Классика среди USB-накопителей — это Rubber Ducky от Hak5: флешка, похожая на флеш-накопитель, написанная на простом языке DuckyScript и созданная именно для этих целей. Flipper Zero, карманный многофункциональный инструмент, ставший вирусным, поставляется со встроенной функцией BadUSB и продается примерно за 169 долларов. А еще есть O.MG Cable, который должен вас больше всего насторожить, потому что это вовсе не накопитель, а кабель.
Кабель O.MG выглядит идентично обычному кабелю Apple или USB-C. Внутри скрывается беспроводной чип и небольшой веб-интерфейс, доступ к которому осуществляется через Wi-Fi. Версия Elite генерирует до 890 нажатий клавиш в секунду и имеет встроенный кейлоггер, вмещающий до 650 000 таких нажатий. В режиме ожидания он заряжает ваш телефон и передает данные, как любой другой кабель. Вы никогда об этом не узнаете. В этом и заключается вся суть.
| Инструмент | Форм-фактор | Скорость впрыска | Беспроводное управление | Примерная цена |
|---|---|---|---|---|
| USB-резиновая уточка | флешка | Быстрый (по сценарию) | Нет | ~60 долларов |
| Флиппер Зеро | Карманный многофункциональный инструмент | Быстрый (по сценарию) | Ограниченный | ~169 долларов |
| O.MG Cable (Elite) | Кабель выглядит обычным | До 890 клавиш/сек | Да (Wi-Fi) | ~200 долларов |
Для сравнения, аналогичный имплантат в прошлом, который, как сообщается, создавали разведывательные агентства, стоил десятки тысяч долларов. Компания O.MG Cable восстанавливает большую часть этих возможностей по цене хорошего ужина. Порог входа практически исчез.
Почему держатели криптовалюты — главная мишень для BadUSB
Большинство статей ограничиваются рассмотрением корпоративных ИТ-вопросов. Я же хочу затронуть иную тему, потому что, если вы владеете криптовалютой, ваша модель угроз будет иной, и, честно говоря, немного хуже.
Замена буфера обмена
Атака с использованием BadUSB не требует взлома вашего кошелька. Достаточно изменить всего одну вещь: ваш буфер обмена. Внедренная полезная нагрузка за считанные секунды запускает программу-перехватчик буфера обмена. После этого каждый раз, когда вы копируете криптографический адрес для отправки средств, вредоносная программа незаметно подменяет его адресом злоумышленника. Вы вставляете то, что выглядит правильно. Вы подтверждаете. Деньги попадают в кошелек незнакомца.
Это не теория. Один злоумышленник, взламывающий буфер обмена, был пойман на просмотре более двух миллионов биткоин-адресов и подмене кошельков злоумышленников на лету. В ходе кампании 2024 года под названием GitVenom поддельные репозитории кода распространяли вредоносное ПО, подменяющее адреса, и похитили около 485 000 долларов в биткоинах. Хитрость заключается в том, что криптоадреса представляют собой длинные, случайные строки, которые никто на самом деле не читает посимвольно. Вы проверяете первые четыре, проверяете последние четыре, они совпадают, вы нажимаете «Отправить». Подмена скрывается посередине, именно там, куда ваши глаза никогда не попадают. И ставки огромны: по данным Chainalysis , в 2024 году было украдено около 2,2 миллиарда долларов в криптовалюте, причем компрометация закрытого ключа стала причиной 43,8% этих потерь.
Спасает ли вас аппаратный кошелек?
В основном, да, и стоит уточнить, почему. Ledger или Trezor блокируют вашу сид-фразу внутри защищенного элемента. Закрытые ключи создаются там и никогда не покидают его. Через USB-кабель проходит только подписанная транзакция. Поэтому устройство BadUSB, использующее множество нажатий клавиш, не может просто ввести команду, которая скопирует вашу сид-фразу из работающего аппаратного кошелька. Вся архитектура построена таким образом, чтобы предотвратить именно это.
Но есть две реальные уязвимости. Первая — социальная инженерия. В 2021 году мошенники рассылали поддельные устройства Ledger людям, чьи домашние адреса были раскрыты в результате утечки данных Ledger в 2020 году. Поддельное оборудование поставлялось с запиской, в которой жертвам предлагалось ввести свою 24-словную сид-фразу в прилагаемое приложение, как сообщал CoinDesk . Никаких эксплойтов не требовалось. Просто убедительная упаковка и немного страха. Вторая уязвимость — цепочка поставок. Исследователи из Kraken показали, что чип, обрабатывающий USB на аппаратном кошельке, тот, который отделен от Secure Element, может быть изменен еще до того, как устройство попадет к покупателю.
Урок не в том, что «аппаратные кошельки бесполезны». Это правильный инструмент, и точка. Урок в том, что слабое место оказывается у вас: что вы копируете, что вы набираете и откуда вообще взялось ваше устройство.
Насколько распространена угроза, связанная с USB-устройствами?
Возникает соблазн отнести BadUSB к категории «интересный, но редкий случай». Однако данные говорят об обратном, по крайней мере, в отношении более широкой угрозы, связанной с USB-устройствами.
Компания Honeywell, специализирующаяся на информационной безопасности, отслеживает вредоносное ПО, обнаруживаемое на промышленных объектах. В своем отчете за 2024 год Honeywell обнаружила , что 51% обнаруженного ею вредоносного ПО было создано для распространения через USB-накопители, по сравнению с всего 9% в 2019 году. Из этого вредоносного ПО, распространяющегося через USB, 82% могли нарушить работу промышленных предприятий. USB-накопители — это не мертвая поверхность для атак, а растущая.
А человеческий фактор — это самая простая часть, которую можно использовать. В одном известном исследовании ученые из Университета Иллинойса разбросали 297 USB-накопителей по кампусу. Люди подбирали их и подключали, причем первый накопитель подключался в течение нескольких минут. Любопытство делает работу злоумышленника бесплатно.
| Нахождение | Фигура | Источник | Год |
|---|---|---|---|
| Вредоносное ПО для OT-сайтов, распространяющееся через USB. | 51% (по сравнению с 9% в 2019 году) | Ханивелл | 2024 |
| Это вредоносное ПО для USB-накопителей способно нарушать работу системы. | 82% | Ханивелл | 2024 |
| Криптовалюта украдена, часть получена в результате компрометации закрытого ключа. | 2,2 млрд долларов США / 43,8% | Цепной анализ | 2024 |
| Упавшие USB-накопители, которые были подключены | Примерно половина, в течение нескольких минут | Университет Иллинойса | 2016 |
Здесь следует сделать одно важное замечание. ФБР и Федеральная комиссия связи (FCC) в 2023 году выпустили публичные предупреждения о «взломе зарядных устройств» в аэропортах и торговых центрах. Эти предупреждения носили превентивный характер, и ни одного крупного подтвержденного случая публично не было зафиксировано. Тем не менее, уязвимость, на которую они указывают, — зарядный порт, который также может передавать данные, — это именно то, чем злоупотребляет BadUSB. Дело не в том, что в каждом аэропорту вас ждет кабель с ловушкой. Дело в том, что один и тот же USB-порт передает питание и данные по одним и тем же контактам, поэтому порт, который вы не можете проверить, — это порт, которому нельзя полностью доверять.
Как предотвратить атаки BadUSB и защитить криптографические данные
Хорошие новости? Предотвращение атак BadUSB в основном недорого и основано на поведенческих факторах. Вам не понадобится сложное программное обеспечение, достаточно одной новой привычки.
- Не подключайте USB-устройства или кабели, которые вы не купили сами или которым не можете полностью доверять. Подарок с конференции, накопитель, найденный на парковке, предоставленный на время аренды кабель — вот что представляет угрозу. Относитесь к ним так же, как к игле, взятой у незнакомца.
- Для зарядки в общественных местах носите с собой USB-блокиратор данных, иногда называемый «USB-презервативом». Он физически перерезает контакты передачи данных и пропускает только питание, что предотвращает как взлом USB-порта, так и внедрение нажатий клавиш через этот USB-порт.
- Что касается криптовалют, всегда проверяйте полный адрес получателя на экране вашего аппаратного кошелька, прежде чем что-либо подтверждать. Эта привычка сводит на нет подмену адреса в буфере обмена, поскольку адрес на доверенном устройстве не будет совпадать с тем, который внедрило вредоносное ПО.
- Покупайте аппаратные кошельки напрямую у производителя, никогда не у сторонних продавцов или незнакомцев, и никогда не доверяйте устройствам, которые появляются без предупреждения.
- На стороне конечного устройства управление USB-устройствами, белый список HID и инструменты управления конечными устройствами могут полностью предотвратить подключение неопознанных клавиатур. На персональных устройствах такие функции, как запрос Apple «Разрешить подключение аксессуаров» или настройка Android «Отключить USB при блокировке», закрывают ту же дверь.
Ничего экзотического в этом нет. Это цифровая версия отказа от еды, которую вам протягивает незнакомец на улице.
Основные выводы о BadUSB и безопасности USB-накопителей.
BadUSB вызывает тревогу именно потому, что это такая обыденность. Никаких уязвимостей нулевого дня, никаких гениальных знаний не требуется, просто предположение за 5 долларов, что кабель — это всего лишь кабель, а клавиатура — это всего лишь вы. Это предположение неверно, и оборудование, которое поможет это опровергнуть, сейчас стоит примерно столько же, сколько телефон, который вы заряжаете.
Для владельцев криптовалюты решение не требует паранойи, а лишь дисциплины. Проверяйте адреса на экране устройства, а не на компьютере. Покупайте оборудование напрямую. И в следующий раз, когда кто-то предложит вам кабель, которого у вас не было, спросите себя, что он может набирать. Что бы вы сегодня подключили, не задумываясь?
