Секрети кібербезпеки: USB-флеш-накопичувач як складова арсеналу хакерів

30/ 06/ 2021

Ризики, пов’язані із використанням USB-флеш-накопичувача на робочому місці. USB-флеш-накопичувачі є одним із найбільш популярних методів передачі інформації. Кожен працівник компаній і просто користувачі комп’ютерів регулярно використовують декілька USB-флеш-накопичувачів. Дані пристрої є надзвичайно зручними методами зберігання і передачі інформації, зважаючи на невеликі розміри та простоту використання. Одним із найбільш поширених видів загроз, пов’язаних із використанням USB-флеш-накопичувачів з професійною метою, є можливість їх втрати чи викрадення, зважаючи на невеликі розміри. Існує загроза, що випадкова знахідка може опинитись у руках хакерів, які із легкістю зможуть отримати доступ до всієї інформації та файлів, які містяться на ній. У 2017 р., на страхову компанію MAPFRE Life було накладено штраф у розмірі 2.2 млн дол США за порушення положень Health Insurance Portability and Accountability Act (HIPAA), керівного документу щодо захисту даних пацієнтів у США. Із офісу страхового агента було викрадено USB-флеш-накопичувач, на якому містились дані 2,200 пацієнтів, зокрема їх імена, дати народження, номери соціального страхування, тощо. Однак, навіть у випадку, коли інформацію із накопичувача було видалено, хакери мають змогу її відновити, оскільки на пристрої можуть міститись сліди файлів чи їх копії. Саме тому викрадення чи фізична втрата USB-флеш-накопичувача є дуже небажаною для компаній. Із втратою USB-флеш-накопичувача також пов’язаний ризик його підміни. Наприклад, знайшови накопичувач із логотипом певної компанії, хакер може встановити непомітні шкідливі програми на нього і згодом принести його під виглядом знахідки в офіс компанії. Працівники, не здогадуючись про злочинні наміри “добродія”, продовжать використовувати флеш-накопичувач у подальшій роботі, інфікуючи таким чином не лише корпоративні комп’ютери, але й особисті. У даному випадку хакерам зовсім не цікавий вміст самого USB-флеш-накопичувача, натомість, вони зацікавлені за його допомогою отримати доступ до якомога більшої кількості пристроїв. Якщо USB-флеш накопичувач містить шкідливе програмне забезпечення чи віруси, існує велика Ймовірність їх передачі на пристрої, до яких підключається даний носій інформації. Шкідливе програмне забезпечення використовується хакерами з метою вивантаження файлів з ураженого пристрою, перегляду історії браузера, отримання контролю над програмами, внесення змін до налаштувань інфікованого комп’ютера, тощо. Зокрема, підключивши інфікований накопичувач до комп’ютера, користувач, не знаючи про це, запускає процедуру встановлення так званих браузерних піратів, які переводять його на шкідливі веб-сайти чи ресурси, і саме з них відбувається процес подальшого інфікування. Окрім цього, інфіковані USB-флеш-накопичувачі можуть містити небажане рекламне програмне забезпечення, шпигунські модулі та потенційно небезпечне програмне забезпечення. Вид загрози, яку може спричинити підключення USB-флеш-накопичувача до комп’ютера, залежить від цілей хакерів. Інструментарій, який є у розпорядженні сучасних хакерів, є надзвичайно широким. Саме тому компаніям необхідно строго контролювати використання USB-флеш-накопичувачів працівниками і намагатись максимально обмежувати його. Методи перетворення USB-флеш-накопичувача у зброю. USB-качечка (USB Rubber Ducky) Одним із головних інструментів хакерів, пов’язаних із USB-флеш-накопичувачами є USB-качечки. Ззовні цейпристрій нічим не відрізняється від звичайних накопичувачів. USB-качечка дозволяє хакерам, попередньозапрограмувавши її, отримати можливість швидкого введення клавіш у комп’ютері жертви. У даних пристроях міститься лише мікроконтролер та пам’ять, у яку і записується необхідний скетч. Для зламу системи “качечці” необхідно всього декілька секунд. USB-качечки продаються в Інтернеті, а їх ціна становить $50. Детальні інструкції та уроки щодо перетворення звичайних USB-флеш-накопичувачів у USB-качечки є у вільному доступі в мережі. Як досвідчені спеціалісти, так і хакери-початківці можуть шляхом ненайскладніших маніпуляцій перетворити звичайний USB-накопичувач у небезпечну “качечку”. Rubber Ducky - найпоширеніший вид BadUSB Wi-Fi-качечка (WiFi Ducky) Аналог USB-качечки, який містить вбудований модуль Wi-Fi. При підключенні даного пристрою до комп’ютера не відбувається моментальне виконання скетчу, а, натомість, створюється точка доступу, яка очікує підключення. Підключитись до цієї точки можна з любого пристрою, а необхідні дії можна виконати у будь-який час. І саме у цьому полягає відчутна перевага Wi-Fi-качечки над простою USB-качечкою. Даний пристрій був вперше розроблений Стефаном Кремсером і наразі продається у вільному доступі. USbee Атака у вигляді передачі даних у повітряному коридорі. За допомогою підключення USB-пристрою до комп’ютера жертви хакери можуть передавати з нього дані на частоті від 240 до 480 мГц. Даний вид атаки спрямований на комп’ютери, які не є підключеними до мережі. USbee було розроблено дослідниками з Ізраїлю. Інформація, яка передається на даній частоті, надходить на приймач, який повинен бути розміщеним неподалік від цілі атаки, як правило, у сусідній кімнаті. Швидкість передачі інформації становить лише близько 80 байтів на секунду, однак цього достатньо, щоб викрасти конфіденційні дані, зокрема паролі. Перевагою цього методу атаки є відсутність необхідності модифікацій USB-пристрою та приймача. Ефективність USbee-атаки залежить від багатьох факторів, а тому її популярність є меншою за використання USB- та Wi-Fi-качечок. USB крадій (USB Thief) USB-троян, який може запускатись із флешки або зовнішнього жорсткого диску, і не залишає жодного сліду в атакованому комп’ютері. Жертва не може помітити переміщення важливих файлів на зовнішній носій. Троян є підв’язаним виключно до одного USB-пристрою. USB Thief використовує поширену практику зберігання на USB-накопичувачах портативних версій популярних програм, зокрема TrueCrypt, NotePad++, Firefox, тощо. При запуску застосунку троян працюватиме разом із ним у фоновому режимі. Шкідлива програма вставляє свій код в ланцюжок команд у форматі динамічної підключеної бібліотеки або плагіна. Метою USB Thief є викрадення файлів заданих форматів. Шифрування викрадених файлів відбувається за допомогою криптографії. Правила безпечного використання USB-флеш-накопичувача на робочому місці. Відповідальність за безпеку при використанні USB-флеш-накопичувачів на робочому місці повинні нести як самі працівники, так і спеціалісти компаній, відповідальні за кібербезпеку. Дотримуючись базових правил забезпечення безпеки, використання працівниками USB-флеш-накопичувачів на робочому місці супроводжуватиметься наявністю мінімальних ризиків цифровій безпеці компаній. Наведемо основні правила безпечного поводження із USB-флеш-накопичувачами на робочому місці: Використання різних USB-флеш-накопичувачів для особистих та професійних потреб. У межах офісу працівникам слід використовувати корпоративні портативні носії інформації і не підключати їх до особистих комп’ютерів. Як наслідок, ризик інфікування USB-флеш-накопичувачів буде мінімальним. Використання USB-флеш-накопичувачів, вироблених перевіреними компаніями, і які продаються у ліцензованих магазинах. Злочинці можуть нелегально продавати портативні носії відомих брендів, попередньо інфікувавши їх шкідливим програмним забезпеченням. Не зберігати файли, які містять конфіденційну інформацію, на USB-флеш-накопичувачах без належної на це потреби. Дотримання цього правила мінімізує ризики, пов’язані із втратою портативного носія; Не використовувати самостійно випадково знайдені чи принесені кимось USB-флеш-накопичувачі як для особистих, так і для професійних потреб, навіть якщо вони містять логотип компанії чи буде-яке інше підтвердження того, що вони належать комусь із працівників. Такі портативні носії слід передати спеціалістам компанії, відповідальним за кібербезпеку, для їх ретельної перевірки. Використання спеціалізованого програмного забезпечення, яке блокуватиме підозрілі портативні пристрої, та антивірусних програм. Як наслідок, працівники можуть використовувати лише ті USB-флеш-накопичувачі, які не завдадуть шкоди корпоративним пристроям. Окрім цього, надзвичайно важливо регулярно оновлювати дане програмне забезпечення. Шифрування інформації, яка міститься на портативному USB-флеш-накопичувачі. Навіть отримавши доступ до носія інформації, хакери не зможуть з легкістю заволодіти інформацією, яка на ньому міститься. Виграний час компанія зможе використати для вжиття превентивних заходів; Відключення функції автоматичного запуску портативного пристрою для мінімізації ризиків запуску шкідливого коду. Дотримання наведених вище правил працівниками компаній дозволить їм мінімізувати ризики втрати даних та зламу корпоративних пристроїв при роботі із USB-флеш-накопичувачами. Загалом, чим уважніше працівники відносяться до USB-флеш-накопичувачів і чим більшу увагу компанії звертають на навчання працівників безпечній роботі з ними, тим важчим завданням для хакерів буде отримання доступу до систем жертви за допомогою портативних носіїв інформації.

Ризики, пов’язані із використанням USB-флеш-накопичувача на робочому місці

USB-флеш-накопичувачі є одним із найбільш популярних методів передачі інформації. Кожен працівник компаній і просто користувачі комп’ютерів регулярно використовують декілька USB-флеш-накопичувачів. Дані пристрої є надзвичайно зручними методами зберігання і передачі інформації, зважаючи на невеликі розміри та простоту використання.

Одним із найбільш поширених видів загроз, пов’язаних із використанням USB-флеш-накопичувачів з професійною метою, є можливість їх втрати чи викрадення, зважаючи на невеликі розміри. Існує загроза, що випадкова знахідка може опинитись у руках хакерів, які із легкістю зможуть отримати доступ до всієї інформації та файлів, які містяться на ній. У 2017 р., на страхову компанію MAPFRE Life було накладено штраф у розмірі 2.2 млн дол США за порушення положень Health Insurance Portability and Accountability Act (HIPAA), керівного документу щодо захисту даних пацієнтів у США. Із офісу страхового агента було викрадено USB-флеш-накопичувач, на якому містились дані 2,200 пацієнтів, зокрема їх імена, дати народження, номери соціального страхування, тощо. Однак, навіть у випадку, коли інформацію із накопичувача було видалено, хакери мають змогу її відновити, оскільки на пристрої можуть міститись сліди файлів чи їх копії. Саме тому викрадення чи фізична втрата USB-флеш-накопичувача є дуже небажаною для компаній.

Із втратою USB-флеш-накопичувача також пов’язаний ризик його підміни. Наприклад, знайшови накопичувач із логотипом певної компанії, хакер може встановити непомітні шкідливі програми на нього і згодом принести його під виглядом знахідки в офіс компанії. Працівники, не здогадуючись про злочинні наміри “добродія”, продовжать використовувати флеш-накопичувач у подальшій роботі, інфікуючи таким чином не лише корпоративні комп’ютери, але й особисті. У даному випадку хакерам зовсім не цікавий вміст самого USB-флеш-накопичувача, натомість, вони зацікавлені за його допомогою отримати доступ до якомога більшої кількості пристроїв.

Якщо USB-флеш накопичувач містить шкідливе програмне забезпечення чи віруси, існує велика Ймовірність їх передачі на пристрої, до яких підключається даний носій інформації. Шкідливе програмне забезпечення використовується хакерами з метою вивантаження файлів з ураженого пристрою, перегляду історії браузера, отримання контролю над програмами, внесення змін до налаштувань інфікованого комп’ютера, тощо. Зокрема, підключивши інфікований накопичувач до комп’ютера, користувач, не знаючи про це, запускає процедуру встановлення так званих браузерних піратів, які переводять його на шкідливі веб-сайти чи ресурси, і саме з них відбувається процес подальшого інфікування.

Окрім цього, інфіковані USB-флеш-накопичувачі можуть містити небажане рекламне програмне забезпечення, шпигунські модулі та потенційно небезпечне програмне забезпечення. Вид загрози, яку може спричинити підключення USB-флеш-накопичувача до комп’ютера, залежить від цілей хакерів. Інструментарій, який є у розпорядженні сучасних хакерів, є надзвичайно широким. Саме тому компаніям необхідно строго контролювати використання USB-флеш-накопичувачів працівниками і намагатись максимально обмежувати його.

Методи перетворення USB-флеш-накопичувача у зброю

USB-качечка (USB Rubber Ducky)

Одним із головних інструментів хакерів, пов’язаних із USB-флеш-накопичувачами є USB-качечки. Ззовні цейпристрій нічим не відрізняється від звичайних накопичувачів. USB-качечка дозволяє хакерам, попередньозапрограмувавши її, отримати можливість швидкого введення клавіш у комп’ютері жертви. У даних пристроях міститься лише мікроконтролер та пам’ять, у яку і записується необхідний скетч. Для зламу системи “качечці” необхідно всього декілька секунд. USB-качечки продаються в Інтернеті, а їх ціна становить $50. Детальні інструкції та уроки щодо перетворення звичайних USB-флеш-накопичувачів у USB-качечки є у вільному доступі в мережі. Як досвідчені спеціалісти, так і хакери-початківці можуть шляхом ненайскладніших маніпуляцій перетворити звичайний USB-накопичувач у небезпечну “качечку”.

Rubber Ducky – найпоширеніший вид BadUSB

Wi-Fi-качечка (WiFi Ducky)

Аналог USB-качечки, який містить вбудований модуль Wi-Fi. При підключенні даного пристрою до комп’ютера не відбувається моментальне виконання скетчу, а, натомість, створюється точка доступу, яка очікує підключення. Підключитись до цієї точки можна з любого пристрою, а необхідні дії можна виконати у будь-який час. І саме у цьому полягає відчутна перевага Wi-Fi-качечки над простою USB-качечкою. Даний пристрій був вперше розроблений Стефаном Кремсером і наразі продається у вільному доступі.

USbee

Атака у вигляді передачі даних у повітряному коридорі. За допомогою підключення USB-пристрою до комп’ютера жертви хакери можуть передавати з нього дані на частоті від 240 до 480 мГц. Даний вид атаки спрямований на комп’ютери, які не є підключеними до мережі. USbee було розроблено дослідниками з Ізраїлю. Інформація, яка передається на даній частоті, надходить на приймач, який повинен бути розміщеним неподалік від цілі атаки, як правило, у сусідній кімнаті. Швидкість передачі інформації становить лише близько 80 байтів на секунду, однак цього достатньо, щоб викрасти конфіденційні дані, зокрема паролі. Перевагою цього методу атаки є відсутність необхідності модифікацій USB-пристрою та приймача. Ефективність USbee-атаки залежить від багатьох факторів, а тому її популярність є меншою за використання USB- та Wi-Fi-качечок.

USB крадій (USB Thief)

USB-троян, який може запускатись із флешки або зовнішнього жорсткого диску, і не залишає жодного сліду в атакованому комп’ютері. Жертва не може помітити переміщення важливих файлів на зовнішній носій. Троян є підв’язаним виключно до одного USB-пристрою. USB Thief використовує поширену практику зберігання на USB-накопичувачах портативних версій популярних програм, зокрема TrueCrypt, NotePad++, Firefox, тощо. При запуску застосунку троян працюватиме разом із ним у фоновому режимі. Шкідлива програма вставляє свій код в ланцюжок команд у форматі динамічної підключеної бібліотеки або плагіна. Метою USB Thief є викрадення файлів заданих форматів. Шифрування викрадених файлів відбувається за допомогою криптографії.

Правила безпечного використання USB-флеш-накопичувача на робочому місці

Відповідальність за безпеку при використанні USB-флеш-накопичувачів на робочому місці повинні нести як самі працівники, так і спеціалісти компаній, відповідальні за кібербезпеку. Дотримуючись базових правил забезпечення безпеки, використання працівниками USB-флеш-накопичувачів на робочому місці супроводжуватиметься наявністю мінімальних ризиків цифровій безпеці компаній. Наведемо основні правила безпечного поводження із USB-флеш-накопичувачами на робочому місці:

Використання різних USB-флеш-накопичувачів для особистих та професійних потреб. У межах офісу працівникам слід використовувати корпоративні портативні носії інформації і не підключати їх до особистих комп’ютерів. Як наслідок, ризик інфікування USB-флеш-накопичувачів буде мінімальним.
Використання USB-флеш-накопичувачів, вироблених перевіреними компаніями, і які продаються у ліцензованих магазинах. Злочинці можуть нелегально продавати портативні носії відомих брендів, попередньо інфікувавши їх шкідливим програмним забезпеченням.
Не зберігати файли, які містять конфіденційну інформацію, на USB-флеш-накопичувачах без належної на це потреби. Дотримання цього правила мінімізує ризики, пов’язані із втратою портативного носія;
Не використовувати самостійно випадково знайдені чи принесені кимось USB-флеш-накопичувачі як для особистих, так і для професійних потреб, навіть якщо вони містять логотип компанії чи буде-яке інше підтвердження того, що вони належать комусь із працівників. Такі портативні носії слід передати спеціалістам компанії, відповідальним за кібербезпеку, для їх ретельної перевірки.
Використання спеціалізованого програмного забезпечення, яке блокуватиме підозрілі портативні пристрої, та антивірусних програм. Як наслідок, працівники можуть використовувати лише ті USB-флеш-накопичувачі, які не завдадуть шкоди корпоративним пристроям. Окрім цього, надзвичайно важливо регулярно оновлювати дане програмне забезпечення.
Шифрування інформації, яка міститься на портативному USB-флеш-накопичувачі. Навіть отримавши доступ до носія інформації, хакери не зможуть з легкістю заволодіти інформацією, яка на ньому міститься. Виграний час компанія зможе використати для вжиття превентивних заходів;
Відключення функції автоматичного запуску портативного пристрою для мінімізації ризиків запуску шкідливого коду.

Дотримання наведених вище правил працівниками компаній дозволить їм мінімізувати ризики втрати даних та зламу корпоративних пристроїв при роботі із USB-флеш-накопичувачами. Загалом, чим уважніше працівники відносяться до USB-флеш-накопичувачів і чим більшу увагу компанії звертають на навчання працівників безпечній роботі з ними, тим важчим завданням для хакерів буде отримання доступу до систем жертви за допомогою портативних носіїв інформації.