BadUSB: la minaccia informatica che ti spinge a collegarlo

Una recente ondata di attacchi informatici basati su USB ha colpito le organizzazioni negli Stati Uniti. I dispositivi USB dannosi vengono inviati a vittime selezionate. Non appena vengono collegati, il danno è fatto.

Le minacce poste dalle unità USB

Le unità USB sono convenienti, banalmente convenienti e onnipresenti. Questa comodità va a scapito della sicurezza. Le unità USB sono portatili, occultabili e possono essere utilizzate per esfiltrare informazioni riservate da computer e reti aziendali. Per questo motivo, molte organizzazioni vietano le unità USB dal posto di lavoro e utilizzano strumenti software per disabilitare l'accesso USB. Tali misure non sono la norma. In genere, vengono distribuiti solo in organizzazioni più grandi. Altrove, le unità USB possono essere utilizzate gratuitamente.

Il furto di dati è solo una delle minacce. Le unità USB possono essere smarrite e perse, esponendo informazioni private e sensibili. Le unità USB vengono generalmente utilizzate per trasportare file e spostarli tra computer. Se un'unità è collegata a un computer infetto da malware, l'unità USB è infetta. Diventa quindi un meccanismo di trasporto per il malware. È probabile che le unità USB vengano collegate a computer domestici scarsamente protetti così come a quelli aziendali, aumentando i rischi di infezione.

Oltre all'infezione accidentale con malware, le unità USB possono essere caricate con software dannoso e lasciate come esca. Il modo più semplice per farlo è camuffare un programma dannoso in modo che sembri un PDF o un file di documento e sperare che la vittima provi ad aprirlo. Altri sono molto più sottili.

Nel gennaio 2022, l'FBI ha rilasciato una dichiarazione riguardante una nuova ondata di attacchi informatici basati su unità USB, soprannominata BadUSB. Le unità USB sono state inviate ai dipendenti delle organizzazioni di trasporto, difesa e finanziarie.

Le unità USB erano accompagnate da lettere convincenti. Alcuni hanno affermato di provenire dal Dipartimento della salute e dei servizi umani degli Stati Uniti e hanno parlato delle linee guida COVID-19. Altri imitavano le confezioni regalo di Amazon e includevano persino una carta regalo contraffatta. Le unità USB sono state modificate in modo da attaccare i computer del bersaglio non appena sono state collegate.

L'esca e l'attesa

Lasciare unità USB nei parcheggi dei dipendenti e in altre aree accessibili di un'azienda è un modo semplice per ottenere unità USB dannose nelle mani dei dipendenti. Semplici trucchi di ingegneria sociale aumentano la probabilità che qualcuno lo riporti sul posto di lavoro e lo inserisca nel proprio computer.

Le unità USB vengono piantate prima di pranzo. In questo modo, i dipendenti li trovano all'ora di pranzo. Torneranno alla loro scrivania per il pomeriggio. Se le unità USB vengono lasciate cadere dopo pranzo, è probabile che il dipendente le trovi alla fine della giornata lavorativa e se le porti a casa.

Collegare un mazzo di chiavi all'unità USB cambia la loro scoperta da Ho trovato un'unità USB a Ho trovato le chiavi di qualcuno. Ciò innesca un diverso insieme di reazioni. Tutti possono identificarsi con il fastidio di perdere un mazzo di chiavi. Nel tentativo di fare la cosa giusta e identificare il proprietario, è molto probabile che la persona che li trova controlli l'unità USB alla ricerca di indizi.

Se vedono un documento con un titolo irresistibile, come Piani di licenziamento o Management Buy-Out, probabilmente proveranno ad aprirlo. Se il documento è davvero un programma dannoso o contiene un payload dannoso, il computer, e quindi la rete, è infetto.

La formazione del personale sulla consapevolezza della sicurezza informatica deve spiegare i pericoli del collegamento di unità USB non identificate. Quando sono stato incaricato di fornire una formazione di sensibilizzazione del personale, alcune settimane dopo ho proseguito con attacchi simulati benigni. Questo misura la suscettibilità del personale. Consente di ripetere i moduli di formazione se un particolare attacco trova un numero sproporzionato di vittime e consente di identificare e riqualificare le persone con scarso rendimento.

Le cadute USB hanno quasi sempre successo. Anche quando i membri dello staff identificano correttamente le e-mail di phishing e altri tipi di attacco, qualcuno cade nell'esca dell'unità USB. C'è qualcosa nella natura dell'unità USB, forse perché è completamente inerte a meno che non sia collegata, che rende alcune persone incapaci di resistere a collegarle. Almeno fino a quando non vengono scoperte per la prima volta.

L'approccio una volta morso, due volte timido va bene nel contesto di una campagna di test benigna, ma con una minaccia reale? Sei già infetto.

Calpestare una mina antiuomo

Attacchi più sofisticati utilizzano USB che possono infettare il computer senza che l'utente tenti di eseguire un programma o aprire un file. Sono state create e trovate sul campo USB dannose che sfruttavano una vulnerabilità nel modo in cui Windows analizzava i metadati nei collegamenti di Windows. Questo è stato sfruttato in modo da eseguire un'applicazione fasulla del Pannello di controllo. L'applicazione fasulla del Pannello di controllo era il malware.

Tutto ciò che era richiesto era che l'utente inserisse l'unità USB e visualizzasse l'elenco dei file sul dispositivo. I collegamenti sull'unità USB hanno causato l'avvio di un'applicazione dannosa del Pannello di controllo. L'applicazione dannosa si trovava anche sull'unità USB.

I dispositivi BadUSB sono stati modificati in modo che sia richiesta anche meno interazione. Tutto ciò che serve è che la vittima inserisca l'unità USB.

Quando sono collegati, i dispositivi USB conducono una conversazione con il sistema operativo. Il dispositivo si identifica comunicando al sistema operativo la marca, il modello e il tipo di dispositivo che è. A seconda del tipo di dispositivo, il sistema operativo potrebbe interrogare il dispositivo USB per ulteriori informazioni su se stesso e sulle sue capacità. I dispositivi BadUSB vengono modificati (il firmware del produttore viene sovrascritto con un firmware personalizzato dagli attori delle minacce) in modo che si identifichino come una tastiera USB.

Non appena il dispositivo viene registrato con Windows come tastiera, invia un flusso di caratteri al sistema operativo. Windows li accetta come input digitato e agisce su di essi. I comandi aprono una finestra di PowerShell e scaricano malware. L'utente non deve fare altro che inserire l'unità USB.

Gli USB dannosi noti come USB Killer sono già ben noti, ma si tratta di dispositivi grezzi che danneggiano il computer a cui sono collegati. La piccola quantità di energia elettrica che viene inviata ai dispositivi USB viene accumulata e amplificata all'interno del killer USB e rilasciata sotto forma di raffiche rapide fino a 200 V nel computer attraverso la porta USB. Il danno fisico che ciò provoca rende il computer inoperante. I killer USB non ottengono nulla oltre al vandalismo, per quanto grave sia. Non diffondono malware né infettano il computer o la rete in alcun modo.

Mascherandosi da tastiera, i dispositivi BadUSB possono scaricare e installare qualsiasi tipo di malware, i più comuni sono i raccoglitori di credenziali e i ransomware. Gli attacchi BadUSB sono una forma di ingegneria sociale. L'ingegneria sociale cerca di manipolare la vittima affinché intraprenda un'azione a vantaggio degli attori della minaccia. La convincente lettera di accompagnamento e altri orpelli si combinano per aggiungere autenticità all'identità del mittente.

Passi che puoi fare

Come per tutti gli attacchi di ingegneria sociale, la migliore difesa è l'istruzione, ma ci sono anche altri passi da fare.

• La formazione per la sensibilizzazione del personale, supportata da test di sensibilità, aiuterà a prevenire l'efficacia di questo tipo di attacco. Questo dovrebbe essere ripetuto almeno una volta l'anno.
• Se le unità USB non devono necessariamente far parte dei flussi di lavoro, valuta la possibilità di disabilitare l'accesso USB. Utilizza l'archiviazione di file nel cloud o altri mezzi per trasferire file troppo grandi per essere inviati tramite e-mail e a cui è necessario accedere in posizioni diverse.
• Disabilita l'esecuzione automatica per i dispositivi USB.
• Assicurati che il software di protezione degli endpoint esegua la scansione delle unità USB al momento dell'inserimento.
• Un computer di decontaminazione con air gap può essere utilizzato per scansionare e ispezionare qualsiasi chiavetta USB se deve essere portata nei tuoi locali.