Mi az a mérgezett USB és hogyan védekezzünk ellene?

Öt évvel ezelőtt, 2016-ban a Michigan Egyetem kutatói és a Google 297 USB memóriát szórtak szét az egyetemi kampuszon, mintha emberek véletlenül ottfelejtették volna őket. Egyesekre kulcsot is akasztottak, másokra ráírták, hogy Szigorúan bizalmas, több viszont semmi jelölést sem tartalmazott.

Az elhagyott USB memóriák 98 százalékát a járókelők megtalálták és hazavitték.

A megtalált memóriák 45 százalékát egy számítógépre csatolták, hogy megnézzék, mit tartalmaz.

Hogy milyen jelölés volt az USB-n, az nem befolyásolta az emberek kíváncsiságát.

A kutatók megkeresték az USB memóriát megnyitó embereket: közülük csupán 13 százalékuk mondta, hogy speciális óvintézkedések mellett nézték meg az adattároló tartalmát. 68 százalékuk elismerte: gyanakodás nélkül megnyitották az adathordozót.

Míg a kutatók kísérlete nyomán egyetlen kiberincidens sem lett, az ismeretlen USB eszközök használatának komoly következményei lehetnek. De nemcsak az ismeretlen USB memória jelent kockázatot: az egereket, billentyűzeteket, az okostelefon töltőket vagy más, USB-n csatlakoztatható okos tárgyakat is át lehet úgy alakítani, hogy azok zsarolóvírust vagy egyéb kártevőt juttassanak a gépre.

De mi is az a mérgezett USB?

A felhő alapú adattárolási megoldások elérhetősége ellenére sokan használnak még a mai napig is USB adattárolót: gyorsan, egyszerűen és könnyen tudjuk szállítani és tárolni segítségével az adatokat. Azonban vállalati szempontból komoly biztonsági kockázatot rejtenek magukban. A mérgezett USB adathordozók segítségével a támadó egyszerűen megkerüli a vállalat határvédelmét, és egy bizalmas eszközre csatlakozva fertőz – már ha engedjük neki.

Az eszközön a támadók kedvük szerint rejthetnek el bármilyen kártékony kódot, ami

ellopja a felhasználók személyes adatait vagy titkosítja az összes információt, majd váltságdíjat kér értük cserébe, netán leállítja a gyártósorokat.

A mérgezett USB-k komoly biztonsági kockázatot jelentenek a gyártásban: a 2019-es SANS State of ICS Cybersecurity Survey szerint a gyártásban dolgozó ipari vállalatok ellen indított sikeres támadások 56 százaléka USB memóriáról vagy egy belső eszközről indult.

Az USB támadások története

A kiberbűnözők eddig is sikeresen használták az USB eszközöket támadásra. 2005-ben a Microsoft egy AutoRun nevű segédprogramot készített USB-khez, melynek segítségével automatikusan elindított bizonyos programokat, mikor az USB-t bedugták a számítógépbe. Ez a segédprogram kiváló lehetőséget adott a támadóknak a káros program automatikus elindításához, a Microsoft 2011-ben adott hozzá védekezési tippeket.

A 2010-es évek környékén a rubber ducky USB drive komoly problémává nőtte ki magát. A rubber ducky egy mikrokontrollert tartalmazó USB memória, mely csatlakozáskor titokban kinyit egy parancssort, és USB billentyűzetnek adva ki magát támadást hajt végre. Ezek az eszközök nagyjából 50 dollárért (16 ezer forint) most is megvásárolhatók.

Pár évvel később, 2014-ben megjelent a BadUSB sérülékenység, melyet egyes kutatók az ipari ellenőrző rendszerek számára kritikusnak tartottak, a kártékony szoftverrel átírt USB-t postán, levélben küldték el a kiszemelt szervezeteknek.

A 2017-ben megjelent P4wnP1 egy USB támadási platform, mely az olcsó Raspberry Pi Zero-n alapszik. Ugyancsak 2017-ben Közép-Keleten a kritikus infrastruktúráért felelős vállalatokat a Copperfield kártevővel vették célba, melyet egy közösen használt munkagépre dugott USB-ről terjesztettek.

Hajókat is megfertőztek

Az is kiderült, hogy hajókat is sikerült USB-vel megfertőzni: egy amerikai hajó biztonsági csapatának egyik tagja csatlakoztatott véletlenül a belső IT rendszerbe egy fertőzött USB-t. Ennek a tettnek a hatásait napokkal később, több százezer dollár elköltése után érezték meg, amikor egy másik biztonsági szakember felfedezte és eltávolította a vírust.

Az USB Killer támadásban fizikailag lehet tönkre tenni a kiszemelt számítógépeket. A kis kondenzátort tartalmazó USB elektromosan feltöltődik, amikor USB-re csatlakoztatjuk, majd az elektromos terhelést visszatölti a számítógépre, ez pedig kisüti a gépet.

2020-ban az autóipar hárított el egy támadást, amikor a Tesla egyik alkalmazottjának egymillió dollárt kínáltak azért, ha egy USB-ről személyre szabott kémprogramot telepít a vállalat belső rendszereibe. Az álomösszeget kínáló orosz kém azonban lebukott, és kiderült az is, hogy nem az autógyártó volt az egyetlen megcélzott vállalat.

Hogyan védekezzünk a mérgezett ajándékok ellen?

Amikor védekezésről van szó, a proaktív megközelítést javasoljuk: ismertessük a felhasználókkal, hogyan fertőzhetik meg informatikai rendszereinket a preparált USB eszközök. Tanítsuk meg nekik, hogyan kerüljék el ezeket a fenyegetettségeket. A mérgezett USB memória kívülről nem ismerhető fel. Fontos óvatosan bánni velük akkor is, ha egy konferencián adják ajándékként vagy egy pad alatt találjuk meg a közeli parkban:

minden ismeretlen USB potenciálisan veszélyes.

Nyilván, az is lehetőség, hogy a vállalati hálózatban blokkoljuk az USB eszközök használatát. Ezt végponti biztonsági szoftver segítségével könnyedén beállíthatjuk. A vállalat egy erre a célra dedikált számítógépet is fenntarthat, melyen biztonságos körülmények között vizsgálhatjuk meg az ismeretlen USB-ket. Angolul sheep dip machine-nak nevezik az ehhez hasonló számítógépeket.

Ha már biztonságosnak tarjuk az USB-t, használjunk egy olyan megoldást, mely titkosítja az adattároló tartalmát. Hiszen a hordozható eszközt könnyen elhagyhatjuk, a titkosítás a garancia arra, hogy ebben az esetben sem szivárognak ki a vállalati titkok. Léteznek USB memóriák, melybe hardveresen alapból beépítettek titkosítást, ezek kicsit drágábbak.

A G Data megvéd

A G Data windowsos biztonsági megoldásai védelmet nyújtanak az USB-n terjedő kártevők ellen. A BAD USB támadás ellen a G Data egy külön modult épített be az összes végponti termékbe, és ezt világelsőként tette meg több mint 7 évvel ezelőtt. A fejlesztésért akkor innovációs díjat is kapott.

Borítóképünk illusztráció