Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

USBee: cum pot fi spionate sistemele izolate cu un USB

2016-09-26

În ultimii ani, am observat un număr tot mai mare de atacuri concepute pentru a afecta sistemele care sunt izolate de rețea și care nu pot fi atacate prin metode convenționale. Aproape toate activitățile de cercetare în această direcție au fost realizate de către experți din Israel, dar acest lucru nu ne surprinde având în vedere că această țară este în prim-planul securității cibernetice.

Diferite tehnici pentru a ataca calculatoarele izolate

În cazul în care un sistem este izolat de rețea sau nu este conectat în mod direct, fiind “gapped in air”, șansele de a fi afectate de un atac IT sunt destul de limitate. Nu există nicio amenințare reală de la atacurile de la distanță (cel puțin nu din partea celor executate de la mai mult de câțiva metri distanță) și în cele mai multe cazuri, atacatorul trebuie să se apropie fizic suficient de mult pentru a capta informații.

În ultimii ani, am observat dezvoltarea tehnicilor de extragere a datelor folosind metode mai degrabă neconvenționale. Câțiva cercetători au demonstrat că se pot obține date de la calculatoare care sunt izolate de rețea prin utilizarea, de exemplu a sunetului produs de hard disk, procesor sau ventilatoare spre exemplu.

Această metodă foarte neconvențională a fost reunită într-o nouă varietate de atacuri cunoscute sub numele de “air gap attacks”. Ultimul tip de atac de care am devenit conștienți este USBee, care a fost dezvoltat, de asemenea, în Israel, de către cercetătorii care sunt acum experți în acest subiect.

Folosirea dispozitivelor USB ca transmițătoare de date

Modul în care funcționează USBee este relativ simplu, dar necesită ca anumite condiții să fie puse în aplicare pentru a fi eficient. Prima și cea mai importantă condiție este de a gestiona infectarea computerul țintă cu malware special conceput pentru un astfel de atac. Având în vedere faptul că dispozitivul în cauză va fi într-un mediu izolat, acest lucru poate fi dificil de realizat, cu toate că există întotdeauna posibilitatea de a face pe cineva să conecteze un dispozitiv USB infectat: dacă am învățat ceva din serialul Mr. Robot și din anumite studii universitare este faptul că, dacă se întâmplă ca cineva să găsească un dispozitiv USB tinde să-l conecteze.

În cazul în care atacatorul își atinge obiectivul de infectare al calculatorului, există un alt factor important care poate determina succesul sau eșecul atacului. Acest factor constă în cablul de conectare al dispozitivului la computer. Problema este că, așa cum unele dispozitive utilizează un cablu ca o antenă pentru a primi informații, USBee îl folosește să transmită. Acest lucru nu înseamnă că utilizarea unui cablu este critică, dar asigură că informațiile furate pot fi trimise printr-o gamă mai variată.

Nu toate dispozitivele USB pot fi utilizate pentru a efectua acest atac: unele modele de camere de exemplu sunt inutile, deoarece nu primesc niciun flux de date de la calculator. Dar, înafară de aceste excepții, USBee poate lucra cu orice dispozitiv USB care îndeplinește specificațiile USB 2.0.

În cazul în care malware-ul se execută cu succes pe computerul țintă și detectează că există un dispozitiv USB care poate fi folosit pentru a transmite informațiile pe care atacatorul vrea să fure, începe să trimită dispozitivului o secvență de zero-uri, ceea ce face ca dispozitivul să transmită un sunet la frecvențe detectabile între 240 și 480 MHz.

Aceste transmisii pot fi capturate de către un receptor din apropiere care, deși nu poate fi departe, poate fi poziționat într-o cameră adiacentă, astfel încât atacatorul poate evita apariția suspiciunilor. În timp ce viteza de transmisie nu este foarte rapidă (aproximativ 80 bytes pe secundă), poate fi suficientă pentru a obține informații confidențiale cum ar fi parolele în doar câteva secunde.

Mai mult decât atât, unul dintre beneficiile acestui atac este faptul că nu este nevoie să se modifice hardware-ul utilizat. Nici dispozitivul USB care acționează ca un trasmițător nici antena receptorului nu trebuie să fie modificate, ceea ce face acest tip de atac să fie foarte ieftin în ceea ce privește costurile de hardware.

După cum pare firesc, numele de “USBee” a fost inspirat de albine, dar de ce? Deoarece ele zboară prin aer transportând polenul de la un loc la altul; iar în acest caz  pachetul care este livrat este unul de informații.

Concluzie: USBee este un atac care poate fi eficient în situații foarte specifice

La fel ca în cazul majorității atacurilor concepute cu sisteme izolate aflate la vedere, eficacitatea sa este limitată la medii și situații foarte specifice. Ar fi dificil pentru un astfel de atac să fie efectuat la o scară mare. Cu toate acestea, pentru anumite operațiuni efectuate de unele guverne și de agenții de securitate, sau de orice formă de spionaj, ar putea fi o tehnică valoroasă.

Și, din acest motiv, ar trebui să vedem USBee pentru ce este într-adevăr: încă o demonstrație a modului în care un sistem nu trebuie conectat la o rețea pentru a nu deveni o țintă a unui atac. Alte tehnici similare și-au dovedit eficacitatea, dar în multe cazuri, acestea nu sunt nimic mai mult decât experimente pentru a entuziasma fanii topicurilor de securitate IT.

 

JOSEP ALBORS
CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *