Gyilkos USB-eszközök, mérgezett pendrive-ok

Egy konferencián átadott USB (Universal Serial Bus / pendrive) netán egy parkban talált adathordozó is súlyos biztonsági kockázat vállalatok számára. A pendrive-val kapcsolatos biztonsági incidenseknek hosszú története van, azonban a jó hír, hogy a G DATA biztonsági megoldásai a „mérgezett USB-adathordozók ellen is védenek.

Öt évvel ezelőtt, 2016-ban a Michigan Egyetem kutatói és a Google 297 USB memóriát szórt szét az egyetemi kampuszon, mintha véletlenül felejtették volna ott őket. Némelyeket megjelöltek, másokra ráírták, hogy Szigorúan bizalmas, sok viszont semmiféle jelölést sem tartalmazott. Néhány kivételével a járókelők megtalálták és hazavitték a hordozható memóriákat. A pendrvie-oknak majdnem a felét számítógéphez csatolták, hogy megnézzék, mit tartalmaz. Az, hogy milyen jelölés volt az USB-kulcson, nem volt hatással az emberek kíváncsiságára.

A kutatók megkeresték a memóriaegységeket megnyitó személyeket. Kiderült: minden hetedik-nyolcadik mondta, hogy óvintézkedések mellett nézte meg az adattároló tartalmát, jó kétharmaduk elismerte, hogy anélkül nyitotta meg az adathordozót, hogy gyanakodott volna a tartalmára.

Bár a kutatók kísérlete nem járt kiberincidenssel, mégis tanulság: ismeretlen USB-eszközök használatának akár végzetes következményei lehetnek. Nem csupán az ismeretlen memóriaegységek járhatnak kockázattal! Egereket, billentyűzeteket, az okostelefon-töltőket vagy más, USB-n csatlakoztatható okostárgyak is átalakíthatók úgy, hogy zsarolóvírust vagy egyéb kártevőt juttassanak a számítógépre, hálózatra.

A felhő alapú adattárolási megoldások elérhetősége ellenére sokan használnak még ma is USB-adattárolót: gyorsan, egyszerűen és könnyen szállíthatók, tárolhatók velük adatok. Csakhogy súlyos biztonsági kockázattal járnak. A „mérgezett” (kértevőkkel megfertőzött) USB-adathordozókkal a támadó megkerülheti a vállalati eszközök védelmét, és eszközre csatlakozva fertőzhet – ha felületesen használják.

Az eszközön a támadók kedvük szerint rejthetnek el bármilyen kártékony kódot, ami ellopja a használók személyes adatait vagy titkosítja az összes információt, majd váltságdíjat kér értük cserébe, netán leállíthat akár gyártósorokat is.

A mérgezett hordozható adattárolók súlyos biztonsági kockázatok lehetnek a gyártásban: a 2019-i SANS State of ICS Cybersecurity Survey az ipari vállalatok ellen indított sikeres támadások 56 százaléka USB-memóriáról vagy valamilyen belső eszközről indult.

A kiberbűnözők eddig is sikeresen használták az USB-eszközöket támadásra:

2005-ben a Microsoft egy AutoRun nevű segédprogramot készített USB-khez, melynek segítségével automatikusan elindított bizonyos programokat, amikor az USB-t bedugták a számítógépbe. Ez a segédprogram kiváló lehetőséget adott a támadóknak a káros program automatikus elindításához, a Microsoft 2011-ben adott hozzá védekezési tippeket.

A 2010-es évek környékén a rubber ducky USB drive mikrokontrollert tartalmazó USB-memória, ami csatlakozáskor titokban kinyit egy parancssort, és USB-billentyűzetnek adva ki magát, támadást hajt végre. Ezek az eszközök nagyjából 50 dollárért (16 ezer forint) most is megvásárolhatók.

Pár évvel később, 2014-ben megjelent a BadUSB sérülékenység, melyet egyes kutatók az ipari ellenőrző rendszerek számára kritikusnak tartottak, a kártékony szoftverrel átírt USB-t postán, levélben küldték el a kiszemelt szervezeteknek.

A 2017-ben megjelent P4wnP1 egy USB támadási platform, ami az olcsó Raspberry Pi Zero-n alapszik. Ugyancsak 2017-ben Közép-Keleten a kritikus infrastruktúráért felelős vállalatokat a Copperfield kártevővel vették célba, melyet egy közösen használt munkagépre dugott USB-ről terjesztettek.

Az is kiderült, hogy hajókat is sikerült USB-vel megfertőzni: egy amerikai hajó biztonsági csapatának egyik tagja csatlakoztatott véletlenül a belső IT-rendszerbe egy fertőzött USB-t. Ennek a tettnek a hatásait napokkal később, több százezer dollár elköltése után érezték meg, amikor egy másik biztonsági szakember felfedezte és eltávolította a vírust.

Az USB Killer támadásban fizikailag lehet tönkre tenni a kiszemelt számítógépeket. A kis kondenzátort tartalmazó tárolóeszköz elektromosan feltöltődik, amikor USB-re csatlakoztatjuk, majd az elektromos terhelést visszatölti a számítógépre, ez pedig kisüti a gépet.

Tavaly az autóipar hárított el egy támadást, amikor a Tesla egyik alkalmazottjának egymillió dollárt kínáltak azért, ha egy USB-ről személyre szabott kémprogramot telepít a vállalat belső rendszereibe. Az álomösszeget kínáló orosz kém azonban lebukott, és kiderült az is, hogy nem az autógyártó volt az egyetlen megcélzott vállalat.

Mindez csupán az emlékezetes USB-támadások kivonatos és rövid története; akit ennél bővebben érdekel a téma, az olvassa el a Ben Gurion Egyetem 2017-ben publikált tanulmányát.

Hogyan védekezzünk hát a mérgezett/fertőzött ajándékok ellen?

Amikor védekezésről van szó, az előrelátóan cselekvés javasolt: ismertessük a használókkal, hogyan fertőzhetik meg informatikai rendszereinket a káros tartalmakkal föltöltött USB-eszközök. Tanítsuk meg nekik, hogyan kerüljék el ezeket a fenyegetettségeket. A mérgezett USB-memória kívülről nem ismerhető fel. Fontos óvatosan bánni velük akkor is, ha egy konferencián adják ajándékként vagy egy pad alatt találjuk meg a közeli parkban: minden ismeretlen USB feltehetően veszélyes (lehet).

Nyilván, az is lehetőség, hogy a vállalati hálózatban blokkoljuk az USB-eszközök használatát. Ez végponti biztonsági szoftver segítségével könnyen beállítható. A vállalat egy erre a célra kijelölt számítógépet is fenntarthat, amin biztonságos körülmények között megvizsgálhatók az ismeretlen USB-k. Angolul sheep dip machine-nak nevezik az ilyen számítógépeket.

Ha már biztonságosnak tartjuk az USB-t, használjunk olyan megoldást, ami titkosítja az adattároló tartalmát. A hordozható eszközt bárki könnyen elhagyhatja, a titkosítás a garancia arra, hogy ebben az esetben sem szivárognak ki a vállalati adatok. Léteznek USB-memóriák, melyekbe hardveresen eleve beépítettek titkosítást.

A G DATA windowsos biztonsági megoldásai védenek az USB adathordozón terjedő kártevők ellen. A BAD USB támadás ellen a G DATA külön modult épített be az összes végponti termékbe, és ezt a világon elsőként tette meg már jó 7 évvel ezelőtt, amiért a cég innovációs díjat kapott.

Az USB adathordozós támadásokat használó kiberincidensek valóságosak, és az összes iparágat érinthetik. Az USB-eszközök töretlen népszerűségét és az internetre csatlakoztatott tárgyak terjedését figyelembe véve, minden vállalat számára fontos, hogy csökkentse az USB-eszközzel előidézhető támadások kockázatát.