Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Kaitīgas USB ierīces kā uzbrukuma vektors

Kaitīgas USB ierīces kā uzbrukuma vektors

Konferencē #TheSAS2019 Luka Bondžorni no Bentley Systems pavēstīja, ka bieži vien ļaunprogrammatūra tiek ievadīta rūpnieciskās kontroles sistēmās, izmantojot USB ierīces. Katrs, kas kaut kādā veidā ir saistīts ar kiberdrošību, droši vien ir dzirdējis pamācošus, jau par klasiku kļuvušus nostāstus par autostāvvietās tīšuprāt atstātām zibatmiņām.

 

 

Taču nesen bija arī reāls gadījums. Kāda rūpniecības uzņēmuma darbinieks lejupielādēja filmu „La La Land” USB zibatmiņā. Rezultātā izolētā atomelektrostacijas tīklā nonāca ļaunprogrammatūra. Nupat ZDNet informēja par primitīvāku gadījumu, kad students sabojāja 59 universitātes datorus ar USBKiller ierīci.

 

Attēls no portālā ZDNet publicētā raksta.

Attēls no portālā ZDNet publicētā raksta.

Nedrīkstam arī aizmirst, ka USB ierīces – tā nav tikai zibatmiņa. Arī Human interface device (HID) tipa ierīces, piemēram, tastatūras un peles, viedtālruņu uzlādes kabeļus un pat termokrūzes var izmantot, lai uzbruktu rūpnieciskajām sistēmām.

 

Īsa kaitīgo USB ierīču vēsture

Kiberieroči USB ierīču veidā parādījās diezgan sen, pirmie modeļi — jau 2010. gadā. Tiem bija neliela programmējamā Teensy plate ar standarta USB savienotāju. Tie varēja atdarināt HID ierīces darbību (piemēram, tastatūru). Hakeri drīz vien saprata, ka šādas ierīces var izmantot, lai iekļūtu sistēmā: viņi izstrādāja versiju, kas sistēmā izveidoja jaunus lietotājus, palaida lūku un lejupielādēja ļaunprogrammatūru, pārkopējot to no citas ierīces vai no interneta vietnes.

Pirmo Teensy modifikāciju nosauca par PHUKD. Tai sekoja Kautilya, kas bija saderīga ar vairumu populāro Arduino plašu. Vēlāk parādījās Rubberducky – iespējams, slavenākais USB taustiņsitienu emulators (par to varam pateikties Mr Robot), kas izskatījās kā parasta USB zibatmiņa. Jaudīgāku ierīci, ko dēvē par Bash Bunny, izmantoja uzbrukumos bankomātiem.

PHUKD izgudrotājs neapstājās pie paveiktā un radīja arī “trojanizētu” peli, iekļaujot tajā mikroshēmu, kas pārbaudīja iespēju iekļūt sistēmā. Šī šķietami parastā perifērijas ierīce darīja visu to pašu, ko jebkurš PHUKD. No sociālās inženierijas viedokļa HID ierīču izmantošana, lai ielauztos sistēmā, var būt pat vienkāršāka, nekā mēģinājums to izdarīt ar USB zibatmiņu. Pat tāds cilvēks, kurš zina, ka svešu USB zibatmiņu nedrīkst spraust datorā, diezin vai iedomāsies par klaviatūras vai peles pievienošanas bīstamību.

Otrās paaudzes kaitīgās USB ierīces radās 2014. – 2015. gadā – starp tām bija arī bēdīgi slavenie risinājumi uz BadUSB bāzes. Jāpiemin arī TURNIPSCHOOL un Cottonmouth, ko varētu būt izstrādājusi ASV Nacionālās drošības aģentūra. Šīs ierīces bija tik niecīgas, ka tās viegli varēja ievietot USB kabelī. Ar to palīdzību bija iespējams iegūt datus pat no tādiem datoriem, kas nav pieslēgti nevienam tīklam. Tas taču gluži parasts kabelis – kuram gan varētu rasties aizdomas?

 

Kā tagad tiek izmantotas kaitīgās USB ierīces?

Trešās paaudzes USB ierīces, kas nodrošina iekļūšanu sistēmā, jau ir pavisam jaunā līmenī. Viena šādām ierīcēm ir WHID Injector. Faktiski tas ir Rubberducky ar attālināta savienojuma funkciju. Tas atbalsta Wi-Fi, tāpēc vairs nav nepieciešams ieprogrammēt to noteiktam darbības veidam: noziedznieks var attālināti vadīt ierīci, lai atbilstoši rīkotos dažādās situācijās un darbotos dažādās operētājsistēmās. Vēl viens trešās paaudzes rīks ir P4wnP1 uz Raspberry Pi bāzes – Bash Bunny modifikācija ar papildu funkcijām, piemēram, ar bezvadu savienojumu. Turklāt gan WHID Injector, gan Bash Bunny ir kompakti un viegli ievietojami tastatūrā vai pelē.

 

 

Miniatūrās USB ierīces, par kādām iepriekš bija runa, var ieprogrammēt, lai tās uzdotos par noteiktu HID ierīces modeli. Tādā veidā tās var apiet drošības politiku uzņēmumos, kur pieprasa izmantot tikai noteiktu ražotāju peles un tastatūras. Tādos rīkos kā WHID Injector var būt iebūvēts arī mikrofons, ko izmanto, lai noklausītos un izsekotu darbiniekus. Viena šāda ierīce var apdraudēt visu tīklu, ja tas nav pareizi segmentēts.

 

Kā aizsargāt sistēmu pret kaitīgām USB ierīcēm

“Trojanizētas” peles, tastatūras un spiegojoši kabeļi rada nopietnus draudus pat izolētām sistēmām. Mūsdienās šie uzbrukuma līdzekļi ir lēti, un nav nepieciešama īpaša prasme, lai tos programmētu. Tāpēc jums pastāvīgi jābūt modriem.

Lai aizsargātu kritiski svarīgu infrastruktūru, jāizmanto daudzpakāpju pieeja.

  • Pirmkārt, garantējiet fizisko drošību, lai nepiederošas personas nevarētu pievienot USB ierīci vadības sistēmā. Fiziski bloķējiet neizmantotos USB portus, varbūt pat padariet neiespējamu jau pievienoto HID ierīču atvienošanu.
  • Instruējiet darbiniekus par iespējamām briesmām, arī par kaitīgām USB ierīcēm (kā piemērā ar filmu „La La Land”).
  • Sadaliet tīklu segmentos un konfigurējiet piekļuves tiesības, lai uzbrucēji nevarētu piekļūt kritiskās infrastruktūras pārvaldības sistēmām.
  • Aizsargājiet uzņēmuma sistēmas ar tādiem risinājumiem, kuri spēj atklāt visus iespējamos draudus. Piemēram, risinājumā Kaspersky Endpoint Security for Business ir tehnoloģija, kas neļauj pieslēgt HID ierīci, ja lietotājs neapstiprina šo darbību, ievadot attiecīgo kodu no citas, jau apstiprinātas HID ierīces.

Izmantoti Kaspersky Lab materiāli.

NĀKOŠĀS PAAUDZES KIBERDROŠĪBA BIZNESAM

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 1 = 7

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu