Атака BadUSB: Як USB-кабель перетворюється на клавіатуру
Найнебезпечнішою річчю у вашій сумці може бути кабель, якому ви найменше довіряєте. USB-кабель, запасний флеш-накопичувач, «безкоштовний» зарядний пристрій, який хтось залишив у кімнаті для переговорів. Усі вони виглядають нешкідливими. Однак, підключіть один із них, і якщо він перетворився на пристрій BadUSB, ваш комп’ютер зробить щось дивне протягом перших півсекунди: він вітає кабель як клавіатуру та дозволяє йому почати друкувати.
У цьому вся хитрість. BadUSB — це не вірус, який можна просканувати. Це кібератака, яка зловживає тим, що USB дозволено робити за замовчуванням, один із найпідступніших векторів атаки в усій кібербезпеці. А для будь-кого, хто володіє криптовалютою, це тихе введення тексту може непомітно коштувати вам гаманця. Ось як це працює, чому це так важко зупинити і чому користувачі криптовалют знаходяться прямо в радіусі вибуху.
Що таке атака BadUSB і чому вона небезпечна
Кожен USB-пристрій, від флеш-накопичувача за 3 долари до веб-камери, працює на крихітному мікроконтролері з власною прошивкою. Ця прошивка повідомляє вашому комп'ютеру: «Я — клавіатура» або «Я — сховище». Атака BadUSB перезаписує її, так що пристрій бреше. Флеш-накопичувач, який ви вважаєте просто сховищем, непомітно видає себе за клавіатуру або мережеву карту, і операційна система приймає це за слово. Жодних підказок. Жодного попередження.
Чому це так важливо? Через те, як комп'ютери обробляють клавіатури. Клавіатура – це пристрій інтерфейсу людини (HID), і кожна ОС повністю довіряє вводу HID. Вона припускає, що там сидить реальна людина та натискає справжні клавіші. Тож шкідливий USB-пристрій, який видає себе за клавіатуру, успадковує всю цю довіру та починає вводити команди зі швидкістю машини.
Дзвінок пробудження 2014 року
Ідея була оприлюднена на Black Hat USA 2014, коли два дослідники SR Labs, Карстен Ноль та Якоб Лелл, вийшли на сцену та продемонстрували її. Їхня доповідь мала чудову назву: «BadUSB — про аксесуари, які перетворюють на зло». Звичайний на вигляд накопичувач, перепрограмований на клавіатуру, що захоплює машину, поки користувач нічого не бачить. Через кілька тижнів Адам Коділл та Брендон Вілсон представили робочий код експлойту на DerbyCon. Це стало поворотним моментом. BadUSB перестав бути лабораторним трюком і став чимось, що міг створити будь-хто, маючи вільні вихідні.
Чому не можна просто залатати це
Ось що досі турбує фахівців з безпеки. Більшість USB-контролерів приймають нову прошивку без підпису коду та взагалі без автентифікації. Ніщо не перевіряє, чи оновлення надійшло від когось, кому можна довіряти. Тож слабкість полягає не в одній глючній програмі, яку можна виправити. Вона криється в самій моделі довіри USB.
Ваш антивірус сканує файли. BadUSB не потребує файлу. Шкідлива поведінка вбудована в прошивку, а сама атака — це просто натискання клавіш. Ніщо не потрапляє на диск, щоб позначити це. Ось так повністю пропатчений, повністю захищений ноутбук все одно падає через кабель за 200 доларів.
Як атака BadUSB відбувається за лічені секунди
Уявіть собі послідовність. Ви підключаєте кабель. Він перераховує, повідомляючи комп'ютеру, що це клавіатура, і протягом секунди-дві починає виконувати натискання клавіш з корисного навантаження, яке оператор завантажив заздалегідь. Жодна людина не друкує так швидко. Ніхто не зрівняється з цим.
Типове корисне навантаження відкриває приховане командне вікно або рядок PowerShell, зазвичай там, де ви його ніколи не бачите, витягує скрипт з Інтернету та запускає його. Кабель виконує введення тексту. Інтернет постачає шкідливе програмне забезпечення. На той момент, коли ви глянете на екран, воно вже готово.
Дві секунди друку – це дуже багато. Відкрийте термінал. Закрийте запит безпеки. Вимкніть інструмент віддаленого доступу та вставте його в автозавантаження, щоб він пережив перезавантаження. У Windows достатньо одного рядка PowerShell, щоб отримати код із сервера, яким володіє зловмисник, та запустити його. А скрипт може бути терплячим. Він може чекати певний час доби або запускатися лише тоді, коли екран розблоковано, тому шквал натискань клавіш зливається з тим, що ви вже робили. Ваш антивірус ніколи не здригається, тому що нічого не надійшло у вигляді файлу. Воно надійшло у вигляді вхідних даних.
Чому це продовжує працювати? Все просто. Ви можете блокувати програмне забезпечення, обмежувати встановлення, запускати кожен сканер на ринку. Але клавіатура вважається вами. Це одне припущення — вся суть, і BadUSB перевершує його за визначенням.
Інструменти BadUSB, які ви можете придбати: від гумової каченяти до фліппера
Роками це здавалося територією шпигунського кіно. Тепер ні. Стандартне обладнання виконує впорскування натискань клавіш одразу після встановлення, а ціни до нудьги нормальні.
USB-флешка Rubber Ducky від Hak5 – це класика: флешка, схожа на флешку, написана простою мовою програмування під назвою DuckyScript, створена саме для цього. Flipper Zero, кишеньковий мультиінструмент, який став вірусним, постачається з вбудованою функцією BadUSB і продається за ціною близько 169 доларів. А ще є кабель O.MG, який має вас найбільше турбувати, бо це взагалі не накопичувач. Це кабель.
Кабель O.MG виглядає ідентично звичайному кабелю Apple або USB-C. Усередині прихований бездротовий чіп і невеликий веб-інтерфейс, до якого оператор отримує доступ через Wi-Fi. Версія Elite виконує натискання клавіш зі швидкістю до 890 натискань на секунду та має вбудований кейлогер, який зберігає до 650 000 з них. У режимі очікування він заряджає ваш телефон і переносить дані, як будь-який інший кабель. Ви б ніколи не здогадалися. У цьому вся суть.
| Інструмент | Форм-фактор | Швидкість впорскування | Бездротове керування | Приблизна ціна |
|---|---|---|---|---|
| Гумове каченя USB | Флеш-накопичувач | Швидкий (за сценарієм) | Ні | ~60 доларів США |
| Фліппер Зеро | Кишеньковий мультиінструмент | Швидкий (за сценарієм) | Обмежена | ~169 доларів США |
| Кабель O.MG (елітний) | Звичайний на вигляд кабель | До 890 клавіш/сек | Так (Wi-Fi) | ~200 доларів США |
Для порівняння, аналогічний імплантат у минулому, який, як повідомляється, створювали розвідувальні служби, коштував десятки тисяч доларів. Кабель O.MG відновлює більшу частину цього потенціалу за ціною смачної вечері. Бар'єр для входу практично зник.
Чому власники криптовалюти є головною мішенню для BadUSB
Більшість статей обмежуються корпоративними ІТ-факторами. Я ж хочу заглибитися в те, чого вони не роблять, бо якщо ви володієте криптовалютою, ваша модель загроз буде іншою, і, чесно кажучи, трохи гіршою.
Обмін буфером обміну
Атака BadUSB не обов'язково має зламувати ваш гаманець. Вона має змінити лише одну річ: ваш буфер обміну. Введене корисне навантаження за лічені секунди розміщує програму-викрадач буфера обміну. Після цього, щоразу, коли ви копіюєте крипто-адресу для відправлення коштів, шкідливе програмне забезпечення непомітно замінює її адресою зловмисника. Ви вставляєте те, що виглядає правильно. Ви підтверджуєте. Гроші потрапляють у гаманець незнайомця.
Це не теоретично. Одного викрадача буфера обміну було спіймано на спостереженні за понад двома мільйонами біткойн-адрес, що підмінювали гаманці зловмисників на ходу. У кампанії 2024 року під назвою GitVenom фальшиві сховища коду розсилали шкідливе програмне забезпечення для підміни адрес і викрали приблизно 485 000 доларів у біткойнах. Хитрість підступна, тому що крипто-адреси — це довгі, випадкові рядки, які ніхто насправді не читає посимвольно. Ви перевіряєте перші чотири, перевіряєте останні чотири, вони збігаються, ви натискаєте «Надіслати». Обмін ховається посередині, саме туди, куди ваші очі ніколи не потрапляють. А ставки величезні: за даними Chainalysis , у 2024 році було викрадено близько 2,2 мільярда доларів криптовалюти, причому 43,8% цих втрат було пов'язано з компрометацією закритого ключа.
Чи рятує вас апаратний гаманець?
Здебільшого, так, і варто чітко пояснити, чому. Ledger або Trezor блокують вашу сід-фразу всередині захищеного елемента (Secure Element). Приватні ключі створюються там і ніколи не залишаються. Тільки підписана транзакція перетинає USB-кабель. Тож пристрій BadUSB, який розповсюджує натискання клавіш, не може просто ввести якусь команду, яка витягує ваше сід-фразу з робочого апаратного гаманця. Вся архітектура побудована саме для того, щоб відмовитися від цього.
Але є дві справжні діри. Перша — це соціальна інженерія. У 2021 році шахраї розсилали підроблені пристрої Ledger людям, чиї домашні адреси стали відомими під час витоку даних Ledger у 2020 році. Підроблене обладнання постачалося з приміткою, в якій жертвам пропонувалося ввести свою 24-словну фразу-паролю в пакетний додаток, як повідомляв CoinDesk . Жодного експлойту не було потрібно. Тільки переконлива упаковка та трохи страху. Друга діра — це ланцюжок поставок. Дослідники Kraken показали, що чіп, який обробляє USB на апаратному гаманці, окремий від Secure Element, може бути підроблений ще до того, як пристрій дійде до покупця.
Урок не в тому, що «апаратні гаманці марні». Вони — правильний інструмент, крапка. Урок полягає в тому, що слабке місце переходить до вас: що ви копіюєте, що ви друкуєте і звідки взагалі взявся ваш пристрій.
Наскільки поширена насправді загроза USB?
Хочеться віднести BadUSB до категорії «цікавих, але рідкісних». Дані свідчать про протилежне, принаймні щодо ширшої загрози USB.
Компанія Honeywell, що спеціалізується на безпеці, відстежує шкідливе програмне забезпечення, виявлене на промислових об'єктах. У своєму звіті за 2024 рік Honeywell виявила , що 51% виявленого нею шкідливого програмного забезпечення було створено для поширення через USB, порівняно з лише 9% у 2019 році. З цього шкідливого програмного забезпечення USB 82% могли порушити роботу промислових підприємств. USB не є мертвою поверхнею для атак. Це зростаюча кількість.
А людський фактор найлегше використати. В одному відомому дослідженні дослідники з Іллінойського університету розкидали по кампусу 297 USB-накопичувачів. Люди підбирали їх та підключали, перший – протягом кількох хвилин. Curiosity виконує роботу зловмисника безкоштовно.
| Знаходження | Фігура | Джерело | Рік |
|---|---|---|---|
| Шкідливе програмне забезпечення OT-сайту, яке поширюється через USB | 51% (порівняно з 9% у 2019 році) | Honeywell | 2024 рік |
| Це шкідливе програмне забезпечення USB, здатне порушити роботу | 82% | Honeywell | 2024 рік |
| Криптовалюта викрадена, акції отримані через компрометацію закритого ключа | 2,2 млрд доларів США / 43,8% | Ланцюговий аналіз | 2024 рік |
| Втрачені USB-накопичувачі, які підключаються | Приблизно половина, протягом кількох хвилин | Університет Іллінойсу | 2016 рік |
Одне чесне застереження. ФБР та FCC у 2023 році публічно попередили про «крадіжку акумуляторів» на зарядних станціях в аеропортах та торгових центрах. Ці попередження були запобіжними, і жодного великого підтвердженого випадку публічно не було оприлюднено. Тим не менш, слабкість, на яку вони вказують, зарядний порт, який також може передавати дані, — це саме те, чим зловживає BadUSB. Річ не в тому, що в кожному аеропорту чекає замінований кабель. Річ у тім, що один і той самий USB-порт передає живлення та дані на тих самих контактах, тому порт, який ви не можете перевірити, — це порт, якому ви не можете повністю довіряти.
Як запобігти атакам BadUSB та захистити криптовалюту
Гарна новина? Запобігання атакам BadUSB здебільшого дешеве та поведінкове. Вам потрібне не стільки складне програмне забезпечення, скільки одна нова звичка.
- Не підключайте USB-пристрої чи кабелі, які ви не купили самі або яким не можете повністю довіряти. Розіграш з конференції, диск, який ви знайшли на парковці, кабель, взятий напрокат – ось що становить загрозу. Ставтеся до них так, як до голки незнайомця.
- Носіть із собою блокувальник даних USB, який іноді називають «USB-презервативом», для заряджання в громадських місцях. Він фізично обрізає контакти даних і пропускає лише живлення, що блокує як відключення живлення, так і впорскування натискань клавіш через цей USB-порт.
- Щодо криптовалюти, завжди перевіряйте повну адресу одержувача на екрані вашого апаратного гаманця, перш ніж щось схвалювати. Ця звичка перекреслює заміну буфера обміну, оскільки адреса на довіреному пристрої не збігатиметься з тією, яку туди вставило шкідливе програмне забезпечення.
- Купуйте апаратні гаманці безпосередньо у виробника, ніколи у стороннього реселлера чи незнайомця, і ніколи не довіряйте пристрою, який просто з'являється несподівано.
- На стороні кінцевих точок, засоби керування USB-пристроями, білий список HID та інструменти керування кінцевими точками можуть взагалі заборонити підключення нерозпізнаних клавіатур. На персональних пристроях такі функції, як запит Apple «Дозволити підключення аксесуарів» або налаштування Android «Вимк. USB під час блокування», закривають ті ж двері.
Жоден з них не є екзотичним. Це цифрова версія відмови від їжі, яку вам простягає незнайомець на вулиці.
Висновок про BadUSB та безпеку USB
BadUSB викликає занепокоєння саме тому, що він такий звичайний. Не потрібно жодних нульових днів, жодної геніальності, лише припущення за 5 доларів, що кабель — це лише кабель, а клавіатура — це лише ви. Це припущення хибне, і обладнання, яке його доводить, зараз коштує приблизно стільки ж, скільки телефон, який ви заряджаєте.
Для власників криптовалюти вирішення проблеми не вимагає параної, лише дисципліни. Перевіряйте адреси на екрані пристрою, а не на комп'ютері. Купуйте обладнання безпосередньо. І наступного разу, коли хтось запропонує вам кабель, який ви не принесли, запитайте себе, що на ньому може бути надруковано. Що б ви підключили сьогодні, не замислюючись?
