Tấn công BadUSB: Làm thế nào một sợi cáp USB biến thành bàn phím
Thứ nguy hiểm nhất trong túi của bạn có thể là sợi dây cáp mà bạn ít tin tưởng nhất. Một sợi cáp USB, một ổ flash dự phòng, bộ sạc "miễn phí" mà ai đó để quên trong phòng họp. Tất cả đều trông có vẻ vô hại. Tuy nhiên, khi cắm một trong số chúng vào, nếu nó đã bị biến thành thiết bị BadUSB, máy tính của bạn sẽ làm điều gì đó kỳ lạ trong nửa giây đầu tiên: nó nhận diện sợi cáp như một bàn phím và cho phép nó bắt đầu gõ.
Đó chính là toàn bộ mánh khóe. BadUSB không phải là virus mà bạn có thể quét tìm. Nó là một cuộc tấn công mạng lợi dụng những gì USB được phép làm theo mặc định, một trong những phương thức tấn công tinh vi nhất trong toàn bộ lĩnh vực an ninh mạng. Và đối với bất kỳ ai đang nắm giữ tiền điện tử, việc gõ phím thầm lặng đó có thể khiến bạn mất trắng ví tiền. Dưới đây là cách thức hoạt động, lý do tại sao rất khó để ngăn chặn nó, và tại sao người dùng tiền điện tử lại nằm ngay trong tầm ảnh hưởng.
Tấn công BadUSB là gì và tại sao nó lại nguy hiểm
Mọi thiết bị USB, từ chiếc ổ USB 3 đô la đến webcam, đều hoạt động trên một bộ vi điều khiển nhỏ với phần mềm riêng. Phần mềm đó là thứ cho máy tính của bạn biết "Tôi là bàn phím" hay "Tôi là thiết bị lưu trữ". Một cuộc tấn công BadUSB sẽ ghi đè lên phần mềm đó để thiết bị nói dối. Chiếc ổ flash mà bạn nghĩ chỉ là thiết bị lưu trữ sẽ âm thầm tự nhận mình là bàn phím hoặc card mạng, và hệ điều hành sẽ tin vào điều đó. Không có thông báo. Không có cảnh báo.
Tại sao điều đó lại quan trọng đến vậy? Bởi vì cách máy tính xử lý bàn phím. Bàn phím là một thiết bị giao diện người dùng (HID), và mọi hệ điều hành đều tin tưởng hoàn toàn vào đầu vào HID. Nó giả định rằng một người thật đang ngồi đó và nhấn các phím thật. Vì vậy, một thiết bị USB độc hại giả dạng bàn phím sẽ thừa hưởng toàn bộ sự tin tưởng đó và bắt đầu gõ các lệnh với tốc độ của máy tính.
Lời cảnh tỉnh năm 2014
Ý tưởng này được công bố tại hội nghị Black Hat USA 2014, khi hai nhà nghiên cứu của SR Labs, Karsten Nohl và Jakob Lell, lên sân khấu và trình diễn nó. Bài thuyết trình của họ có một tiêu đề rất hay: "BadUSB — Về các phụ kiện có thể trở nên độc ác". Một ổ đĩa trông bình thường, được lập trình lại để hoạt động như một bàn phím, chiếm quyền điều khiển máy tính mà người dùng không hề hay biết. Vài tuần sau, Adam Caudill và Brandon Wilson đã tung ra mã khai thác hoạt động được tại DerbyCon. Đó là bước ngoặt. BadUSB không còn là một thủ thuật trong phòng thí nghiệm nữa mà trở thành thứ mà bất cứ ai có một ngày cuối tuần rảnh rỗi đều có thể tạo ra.
Tại sao bạn không thể chỉ vá lỗi nó?
Đây là phần vẫn khiến các chuyên gia bảo mật lo ngại. Hầu hết các bộ điều khiển USB chấp nhận firmware mới mà không cần ký mã hay xác thực nào cả. Không có gì kiểm tra xem bản cập nhật có đến từ nguồn đáng tin cậy hay không. Vì vậy, điểm yếu không nằm ở một chương trình bị lỗi mà bạn có thể vá lỗi. Nó nằm ở chính mô hình tin cậy của USB.
Phần mềm diệt virus của bạn quét các tập tin. BadUSB không cần tập tin. Hành vi độc hại được tích hợp sẵn trong firmware, và bản thân cuộc tấn công chỉ cần các thao tác gõ phím. Không có gì được lưu vào ổ đĩa để bị phát hiện. Đó là lý do tại sao một chiếc máy tính xách tay đã được vá lỗi và bảo vệ đầy đủ vẫn có thể bị đánh bại bởi một sợi cáp trị giá 200 đô la.
Diễn biến của một cuộc tấn công BadUSB chỉ trong vài giây.
Hãy hình dung trình tự các bước. Bạn cắm cáp vào. Thiết bị nhận diện, báo cho máy tính biết đó là bàn phím, và chỉ trong vòng một hoặc hai giây, nó bắt đầu gửi các phím bấm từ một đoạn mã mà người vận hành đã tải sẵn. Không một người nào gõ nhanh đến vậy. Không ai có thể sánh kịp.
Một phần mềm độc hại điển hình sẽ mở một cửa sổ dòng lệnh ẩn hoặc dấu nhắc PowerShell, thường ở một nơi bạn không bao giờ nhìn thấy, tải một đoạn mã từ internet và chạy nó. Dây cáp thực hiện việc gõ lệnh. Internet cung cấp phần mềm độc hại. Đến khi bạn liếc nhìn màn hình, mọi việc đã hoàn tất.
Chỉ cần hai giây gõ phím cũng đủ tạo ra sự khác biệt lớn. Mở cửa sổ dòng lệnh. Tắt cửa sổ nhắc nhở bảo mật. Tải xuống công cụ truy cập từ xa và chèn nó vào quá trình khởi động để nó vẫn hoạt động sau khi khởi động lại máy. Trên Windows, chỉ cần một dòng lệnh PowerShell là đủ để lấy mã từ máy chủ mà kẻ tấn công sở hữu và chạy nó. Và kịch bản này có thể rất kiên nhẫn. Nó có thể chờ đến một thời điểm nhất định trong ngày, hoặc chỉ chạy khi màn hình được mở khóa, vì vậy loạt thao tác gõ phím sẽ hòa lẫn vào những gì bạn đang làm. Phần mềm diệt virus của bạn sẽ không hề nao núng, bởi vì không có gì được gửi đến dưới dạng tệp. Nó được gửi đến dưới dạng dữ liệu đầu vào.
Tại sao cách này vẫn hoạt động? Đơn giản thôi. Bạn có thể khóa phần mềm, hạn chế cài đặt, chạy mọi phần mềm quét virus trên thị trường. Nhưng bàn phím được mặc định là chính bạn. Giả định đó là toàn bộ vấn đề, và BadUSB đã vượt qua nó một cách dễ dàng.
Các công cụ BadUSB bạn có thể mua: Từ Rubber Ducky đến Flipper
Nhiều năm qua, việc này cứ như chỉ có trong phim gián điệp. Nhưng giờ thì không còn như vậy nữa. Các thiết bị bán sẵn trên thị trường đều có thể thực hiện việc chèn phím ngay từ khi xuất xưởng, và giá cả thì bình thường đến mức nhàm chán.
USB Rubber Ducky của Hak5 là một ví dụ kinh điển: một chiếc USB trông giống như ổ flash, được lập trình bằng một ngôn ngữ đơn giản gọi là DuckyScript, được thiết kế chính xác cho mục đích này. Flipper Zero, một công cụ đa năng bỏ túi đã trở nên nổi tiếng, được tích hợp tính năng BadUSB và có giá khoảng 169 đô la. Và sau đó là O.MG Cable, thứ mà bạn nên lo lắng nhất, bởi vì nó không phải là một ổ đĩa mà là một sợi cáp.
Cáp O.MG trông giống hệt cáp Apple hoặc USB-C thông thường. Bên trong ẩn chứa một chip không dây và một giao diện web nhỏ mà người dùng truy cập qua Wi-Fi. Phiên bản Elite có khả năng ghi lại tới 890 phím bấm mỗi giây và tích hợp phần mềm ghi lại thao tác bàn phím, lưu trữ được tới 650.000 phím. Khi ở chế độ chờ, nó vẫn sạc điện thoại và truyền dữ liệu như bất kỳ cáp nào khác. Bạn sẽ không bao giờ biết được điều đó. Đó chính là điểm mấu chốt.
| Dụng cụ | Hình dạng | Tốc độ phun | Điều khiển không dây | Giá ước tính |
|---|---|---|---|---|
| Vịt cao su USB | USB | Nhanh (theo kịch bản) | KHÔNG | Khoảng 60 đô la |
| Flipper Zero | Dụng cụ đa năng bỏ túi | Nhanh (theo kịch bản) | Giới hạn | ~169 đô la |
| Cáp O.MG (Elite) | Cáp có vẻ ngoài bình thường | Tốc độ lên đến 890 phím/giây | Có (Wi-Fi) | Khoảng 200 đô la |
Để dễ hình dung hơn, một thiết bị cấy ghép tương tự trong quá khứ, loại được cho là do các cơ quan tình báo chế tạo, có giá hàng chục nghìn đô la. Thiết bị O.MG Cable tái tạo hầu hết khả năng đó với giá chỉ bằng một bữa tối ngon miệng. Rào cản gia nhập thị trường về cơ bản đã biến mất.
Vì sao những người nắm giữ tiền điện tử là mục tiêu hàng đầu của BadUSB
Hầu hết các bài viết chỉ dừng lại ở khía cạnh CNTT của doanh nghiệp. Tôi muốn đi sâu hơn vào vấn đề, bởi vì nếu bạn nắm giữ tiền điện tử, mô hình rủi ro của bạn sẽ khác, và thành thật mà nói, có phần nghiêm trọng hơn.
Trao đổi bảng nhớ tạm
Cuộc tấn công BadUSB không cần phải bẻ khóa ví của bạn. Nó chỉ cần thay đổi một thứ: bộ nhớ tạm của bạn. Phần mềm độc hại được tiêm vào sẽ cài đặt một phần mềm chiếm quyền điều khiển bộ nhớ tạm chỉ trong vài giây. Sau đó, mỗi khi bạn sao chép địa chỉ tiền điện tử để gửi tiền, phần mềm độc hại sẽ âm thầm thay thế bằng địa chỉ của kẻ tấn công. Bạn dán địa chỉ trông có vẻ đúng. Bạn xác nhận. Tiền sẽ được chuyển vào ví của một người lạ.
Đây không phải là lý thuyết suông. Một kẻ chiếm đoạt clipboard đã bị bắt quả tang theo dõi hơn hai triệu địa chỉ Bitcoin, hoán đổi ví của kẻ tấn công ngay lập tức. Trong một chiến dịch năm 2024 có biệt danh là GitVenom, các kho mã giả mạo đã phát tán phần mềm độc hại hoán đổi địa chỉ và chiếm đoạt khoảng 485.000 đô la Bitcoin. Thủ đoạn này rất nguy hiểm vì địa chỉ tiền điện tử là những chuỗi dài, ngẫu nhiên mà không ai thực sự đọc từng ký tự một. Bạn kiểm tra bốn ký tự đầu tiên, bạn kiểm tra bốn ký tự cuối cùng, chúng khớp nhau, bạn nhấn gửi. Việc hoán đổi ẩn ở giữa, chính xác là nơi mà mắt bạn không bao giờ nhìn thấy. Và rủi ro là rất lớn: theo Chainalysis , khoảng 2,2 tỷ đô la tiền điện tử đã bị đánh cắp vào năm 2024, với việc xâm phạm khóa riêng tư đứng sau 43,8% số tiền bị mất.
Ví phần cứng có giúp bạn tiết kiệm được tiền không?
Hầu hết là đúng, và cần phải làm rõ lý do tại sao. Ví Ledger hoặc Trezor khóa cụm từ khôi phục của bạn bên trong một Secure Element. Khóa riêng tư được tạo ra ở đó và không bao giờ rời khỏi đó. Chỉ có giao dịch đã ký mới được truyền qua dây USB. Vì vậy, một thiết bị BadUSB tấn công bằng cách gõ phím liên tục không thể chỉ cần gõ một lệnh nào đó để lấy cụm từ khôi phục của bạn từ một ví phần cứng đang hoạt động. Toàn bộ kiến trúc được xây dựng để ngăn chặn chính điều đó.
Nhưng có hai lỗ hổng thực sự. Đầu tiên là kỹ thuật thao túng tâm lý. Năm 2021, những kẻ lừa đảo đã gửi các thiết bị Ledger giả đến những người có địa chỉ nhà bị rò rỉ trong vụ rò rỉ dữ liệu của Ledger năm 2020. Phần cứng giả mạo được gửi kèm theo một ghi chú yêu cầu nạn nhân nhập cụm từ hạt giống 24 từ của họ vào một ứng dụng đi kèm, như CoinDesk đã đưa tin . Không cần khai thác lỗ hổng nào cả. Chỉ cần một bao bì trông rất thuyết phục và một chút sợ hãi. Lỗ hổng thứ hai là chuỗi cung ứng. Các nhà nghiên cứu tại Kraken đã chỉ ra rằng con chip xử lý USB trên ví phần cứng, con chip tách biệt với Secure Element, có thể bị can thiệp trước khi thiết bị đến tay người mua.
Bài học không phải là "ví phần cứng vô dụng". Chúng là công cụ phù hợp, không cần bàn cãi. Bài học nằm ở chỗ điểm yếu chuyển sang chính bạn: những gì bạn sao chép, những gì bạn nhập và nguồn gốc thiết bị của bạn ngay từ đầu.
Thực tế, mối đe dọa từ USB phổ biến đến mức nào?
Có thể dễ dàng xếp BadUSB vào loại "thú vị, nhưng hiếm gặp". Tuy nhiên, dữ liệu lại cho thấy điều ngược lại, ít nhất là đối với mối đe dọa USB nói chung.
Công ty an ninh mạng Honeywell theo dõi phần mềm độc hại được tìm thấy tại các khu công nghiệp. Trong báo cáo năm 2024, Honeywell phát hiện ra rằng 51% phần mềm độc hại mà họ thu thập được được thiết kế để lây lan qua USB, tăng từ chỉ 9% vào năm 2019. Trong số phần mềm độc hại USB đó, 82% có thể gây gián đoạn hoạt động công nghiệp. USB không phải là một bề mặt tấn công đã lỗi thời. Nó đang ngày càng trở nên nguy hiểm hơn.
Và yếu tố con người là phần dễ bị khai thác nhất. Trong một nghiên cứu nổi tiếng, các nhà nghiên cứu từ Đại học Illinois đã rải 297 ổ USB quanh khuôn viên trường. Mọi người nhặt chúng lên và cắm vào, chiếc đầu tiên được cắm chỉ trong vài phút. Sự tò mò đã giúp kẻ tấn công thực hiện công việc một cách dễ dàng.
| Tìm kiếm | Nhân vật | Nguồn | Năm |
|---|---|---|---|
| Phần mềm độc hại OT-site lây lan qua USB | 51% (tăng từ 9% năm 2019) | Honeywell | 2024 |
| Phần mềm độc hại USB đó có khả năng làm gián đoạn hoạt động. | 82% | Honeywell | 2024 |
| Tiền điện tử bị đánh cắp, chia sẻ thông tin từ việc lộ khóa riêng tư. | 2,2 tỷ đô la Mỹ / 43,8% | Phân tích chuỗi | 2024 |
| Ổ USB bị rơi khi cắm vào | Khoảng một nửa, trong vòng vài phút | Đại học Illinois | 2016 |
Một lưu ý thẳng thắn ở đây. Cả FBI và FCC đều đã đưa ra cảnh báo công khai vào năm 2023 về "tấn công chiếm đoạt điện năng" tại các trạm sạc ở sân bay và trung tâm thương mại. Những cảnh báo đó mang tính phòng ngừa, và chưa có trường hợp nào được xác nhận lớn nào xuất hiện công khai. Tuy nhiên, điểm yếu mà họ chỉ ra, một cổng sạc cũng có thể truyền dữ liệu, chính xác là điều mà BadUSB lợi dụng. Vấn đề không phải là có một sợi cáp gài bẫy ở mọi sân bay. Vấn đề là cùng một cổng USB truyền cả nguồn điện và dữ liệu trên cùng một chân cắm, vì vậy một cổng mà bạn không thể kiểm tra là một cổng mà bạn không thể hoàn toàn tin tưởng.
Cách phòng chống các cuộc tấn công BadUSB và bảo vệ mã hóa
Tin tốt là gì? Việc phòng chống tấn công BadUSB hầu hết đều rẻ và phụ thuộc vào thói quen. Bạn không cần phần mềm phức tạp mà chỉ cần một thói quen mới.
- Đừng cắm bất kỳ thiết bị hoặc cáp USB nào mà bạn không tự mua hoặc không hoàn toàn tin tưởng. Quà tặng hội nghị, ổ cứng bạn tìm thấy ở bãi đậu xe, cáp mượn, đó mới là mối đe dọa. Hãy đối xử với chúng như cách bạn đối xử với kim tiêm của người lạ.
- Hãy mang theo một thiết bị chặn dữ liệu USB, đôi khi được gọi là "bao cao su USB", khi sạc pin ở nơi công cộng. Thiết bị này sẽ ngắt các chân dữ liệu và chỉ cho phép dòng điện chạy qua, từ đó ngăn chặn cả việc lấy cắp dữ liệu bằng cách nhấn giữ nguồn điện và ghi đè thao tác bàn phím qua cổng USB đó.
- Đặc biệt đối với tiền điện tử, hãy luôn kiểm tra địa chỉ nhận đầy đủ trên màn hình ví phần cứng của bạn trước khi chấp thuận bất cứ điều gì. Thói quen đó sẽ ngăn chặn việc đánh cắp thông tin từ clipboard, vì địa chỉ trên thiết bị đáng tin cậy sẽ không trùng khớp với địa chỉ mà phần mềm độc hại đã cài đặt vào.
- Hãy mua ví phần cứng trực tiếp từ nhà sản xuất, tuyệt đối không mua từ bên thứ ba hoặc người lạ, và đừng bao giờ tin tưởng một thiết bị xuất hiện mà không được thông báo trước.
- Ở phía thiết bị đầu cuối, việc kiểm soát thiết bị USB, danh sách trắng HID và các công cụ quản lý thiết bị đầu cuối có thể ngăn chặn hoàn toàn việc kết nối của các bàn phím không được nhận dạng. Trên các thiết bị cá nhân, các tính năng như lời nhắc "Cho phép phụ kiện kết nối" của Apple hoặc cài đặt tắt USB khi bị khóa của Android cũng giải quyết vấn đề tương tự.
Chẳng có món nào trong số này là lạ lẫm cả. Chúng chỉ là phiên bản kỹ thuật số của việc không ăn đồ ăn người lạ đưa cho trên đường phố mà thôi.
Tóm lại về BadUSB và bảo mật USB
BadUSB gây bất an chính xác bởi vì nó quá bình thường. Không có lỗ hổng bảo mật chưa được phát hiện, không cần thiên tài, chỉ cần một giả định đơn giản rằng cáp chỉ là cáp và bàn phím chỉ là bạn. Giả định đó sai, và thiết bị để chứng minh điều đó sai hiện nay có giá gần bằng chiếc điện thoại bạn đang dùng để sạc.
Đối với những người nắm giữ tiền điện tử, giải pháp không cần phải quá đa nghi, chỉ cần có kỷ luật. Hãy xác minh địa chỉ trên màn hình thiết bị, chứ không phải trên máy tính. Mua phần cứng trực tiếp từ nhà sản xuất. Và lần tới khi ai đó đưa cho bạn một sợi cáp mà bạn không mang theo, hãy tự hỏi nó có thể đang gõ cái gì. Hôm nay bạn sẽ cắm cái gì mà không cần suy nghĩ?
