19 апреля 2019

Вредоносные USB-устройства как вектор атаки

Enterprise Бизнес

На конференции #TheSAS2019 Лука Бонджорни (Luca Bongiorni) из компании Bentley Systems говорил, что часто вредоносное ПО попадает в промышленные системы управления через USB-устройства. Те, кто хоть как-то связан с кибербезопасностью, наверняка не раз слышали поучительные истории о флешках, разбросанных по парковкам, — это уже классика.

Но недавно произошел реальный случай. Cотрудник промышленного предприятия скачал фильм «Ла-Ла Ленд» на флешку. В итоге в изолированную сеть атомной электростанции попало вредоносное ПО.

Однако не стоит забывать о том, что USB-устройства — это не только флешки. Устройства типа human interface devices (HID), такие как клавиатуры и мыши, зарядные кабели для смартфонов и даже плазменные шары и термокружки — все они могут быть использованы при атаке на промышленные системы.

Краткая история зловредных USB-устройств

Кибероружие в виде USB-устройств появилось довольно давно, первые модели увидели свет еще в 2010 году. В них была небольшая программируемая плата Teensy со стандартным USB-разъемом. Они могли имитировать работу HID-устройства (например, клавиатуры). Злоумышленники быстро сообразили, что такие устройства можно использовать для проникновения: они разработали версию, которая умела создавать новых пользователей в системе, запускать программы с бэкдорами и загружать в систему вредоносное ПО, копируя его с устройства или скачивая с сайта.

Первая модификация Teensy получила название PHUKD. За ней последовала Kautilya, совместимая с большинством популярных плат Arduino. Позже появился Rubberducky — пожалуй, самый известный USB-эмулятор нажатий клавиш (скажем спасибо Mr. Robot), выглядевший как обычная флешка. Более мощное устройство под названием Bash Bunny использовалось для атак на банкоматы.

Изобретатель PHUKD не остановился на достигнутом и создал «троянскую мышь», встроив в нее плату для тестирования системы на проникновение. Это с виду обычное периферийное устройство умело делать все, на что был способен PHUKD. С точки зрения социальной инженерии использовать HID-устройства для вторжения в систему может быть даже проще, чем пытаться делать это с помощью USB-флешек. Даже человек, который знает о том, что неизвестную флешку в компьютер вставлять не стоит, вряд ли задумается об опасности подключения клавиатуры или мыши.

Второе поколение вредоносных USB-устройств было создано в 2014–2015 годах — среди них, в частности, печально известные решения на базе BadUSB. Еще заслуживают упоминания TURNIPSCHOOL и Cottonmouth, которые, возможно, были разработаны Агентством национальной безопасности США. Эти устройства были настолько крохотными, что запросто помещались внутри USB-кабеля. С их помощью можно было добыть данные даже из компьютеров, которые не были подключены ни к каким сетям. Это же самый обычный кабель — кто заподозрит неладное?

Как сейчас обстоят дела со зловредными USB-устройствами

Третье поколение USB-устройств, тестирующих системы на проникновение, — это уже совершенно другой уровень. Один из таких инструментов — WHID Injector. По сути, это Rubberducky с возможностью удаленного подключения. Благодаря поддержке Wi-Fi его уже не надо заранее программировать на определенный род деятельности: преступник может управлять устройством дистанционно, что дает ему возможность действовать по ситуации и работать в разных операционных системах. Еще один инструмент третьего поколения — P4wnP1, основанный на Raspberry Pi, модификация Bash Bunny с дополнительными функциями, включая беспроводное подключение.

Разумеется, и WHID Injector, и Bash Bunny достаточно компактны и легко помещаются в клавиатуру или мышь. На этом видеоролике показан ноутбук, который не подключен к Интернету ни по локальной сети, ни через Wi-Fi, но к нему подсоединена клавиатура с трояном, которая позволяет атакующему удаленно выполнять команды и запускать приложения.

Миниатюрные USB-устройства вроде тех, о которых мы говорили выше, можно запрограммировать так, чтобы они выдавали себя за определенную модель HID-устройства. Так можно обходить политики безопасности в компаниях, где требуют использовать мыши и клавиатуры только определенных производителей. В инструментах вроде WHID Injector также может быть микрофон, который используется для прослушки и наблюдения за сотрудниками. Одного такого устройства может быть достаточно, чтобы скомпрометировать всю сеть целиком, если она не сегментирована надлежащим образом.

Как защитить системы от вредоносных USB-устройств

Троянизированные мыши, клавиатуры и кабели-шпионы представляют серьезную угрозу даже для изолированных систем. Сегодня инструменты для таких атак стоят дешево, а чтобы их программировать, не нужны специальные навыки. Так что вам следует постоянно быть начеку.

Для защиты критически важной инфраструктуры следует использовать многоуровневый подход.

  • Во-первых, обеспечьте безопасность на физическом уровне, чтобы посторонний не смог подключить USB-устройство к системе управления. Заблокируйте неиспользуемые USB-порты физически, также желательно исключить возможность извлечения уже подключенных HID-устройств.
  • Проинструктируйте сотрудников, чтобы они были в курсе возможных угроз, в том числе со стороны вредоносных USB-устройств (как, например, в инциденте с «Ла-Ла Ленд»).
  • Сегментируйте сеть и сконфигурируйте права доступа таким образом, чтобы злоумышленники не смогли добраться до систем управления критически важной инфраструктурой.
  • Защитите все системы предприятия с помощью решений, которые могут обнаруживать все возможные угрозы. В Kaspersky Endpoint Security for Business имеется технология, которая не дает подключить HID-устройство, если пользователь не подтвердит операцию кодом, введенным с уже авторизованного HID-устройства.