Външните USB памети, т. нар. „флашки“, отново са на мода като средство за хакване на корпоративни мрежи. Изненадващо или не, 2023 г. е година на ренесанс за USB атаките.
Няколко анализа на новите заплахи за дигиталните инфраструктури заговориха за добрите стари флашки като вектор за кибератаки. Според експерти, налице е трикратно увеличение на зловредния софтуер, разпространяван чрез USB устройства през първата половина на 2023 г!
Още през януари 2023 г. екипът „Звено 42“ на Palo Alto Network разкри вариант на зловредния код PlugX, който може да се скрие в USB устройства и да зарази хостовете на Windows, към които тези флашки биват свързани.
Нов доклад на Mandiant, публикуван през юли, очертава как тази година са наблюдавани две значителни кампании за заразяване със злонамерен софтуер, доставени чрез USB. Едната е на име „Sogu“, приписвана на китайска група за шпионска заплаха „TEMP.HEX“, а другата – на име „Snowydrive“, приписвана на UNC4698, който е насочен към петролни и газови фирми в Азия.
Червеят Raspberry Robin е един от често срещаните варианти на зловреден софтуер, разпространяван чрез USB устройства, отчете CheckPoint Software в началото на септември. Заразата става чрез изпълними файлове, върху които може да се кликне. CheckPoint съобщи и, че злонамерени лица, финансирани на държавно ниво, експлоатират дори стари, 10-годишни софтуерни инфекции като „Andromeda” чрез USB устройства.
Случайно намерена флашка
Киберпрестъпниците и използват USB устройства като най-сполучливия начин за заразяване на добре изолирани, сегментирани и защитени мрежи, според CheckPoint.
Схемата е семпла и ефективна. USB памети, които са носители на зараза, биват „изпуснати“ уж случайно на места, където е много вероятно някой да ги намери и също така вероятно да се изкуши да ги вземе и отвори, за да види съдържанието им.
„Отиваш в кафенето, където си почиват служителите, отиваш в до тоалетната, където обичайно ходят служителите, и изпускаш няколко USB устройства,“ обяснява Пете Николети, регионален главен директор по ИТ сигурността в CheckPoint Software за Америка. Казва, че някога това се е правело с компактдискове. За да има ефект, помагат етикети, които са неустоими за отваряне от служителите, „случайно“ намерили носителите – надписи от типа на „Съкращения за третото тримесечие“. С подобен надпис загубените памети е много вероятно бързо да се озоват на USB порта на нечии служебен компютър и да бъдат отворени.
„Виждаме същото нещо да се случва сега с флаш паметите и това е драматично“, казва Николети. Ако намерите изгубена USB флашка, по-добре не бързайте да се радвате – или поне не бързайте да я отваряте, съветва експертът.
Разхлабени ограничения + хактивизъм
До известна степен принос за възраждането на тази стара тактика има отминаването на пандемията. Преди Covid, според специалистите, бяха налице по-добри политики срещу използването на USB в корпоративни лаптопи, защото всеки фирмен лаптоп се инспектираше. Сега обаче, след края на пандемията, когато дистанционната работа е норма, концепцията „носи си свое собствено устройство“ е повсеместна. Съответно има и по-малко корпоративни защити. Отчасти това е причината, поради която виждаме скок на USB атаките.
От друга страна е налице подем в т. нар. хактивизъм. Става дума за активността на хакери, които са финансирани на държавно ниво. Това са добре мотивирани групи, които предприемат атаки и дори боравят с AI изкуствен интелект. Твърди се, че те са финансирани с държавни пари по линия на напрежението заради многобройните геополитически конфликти.
Кампании с ясна цел
Според анализите на фирмите за киберсигурност, заразите, които се разпространяват чрез USB памети, обикновено примамват потребителя да кликне върху файл, който е съвсем легитимно изглеждащ. Оттам насетне се използват различни техники за заразяване.
При всички случаи обаче в атаката има ясна цел. Някои от кампаниите се стремят към установяването на тихо и незабелязано присъствие. Това може да осигури възможност на злонамерените лица да поддържат отдалечен контрол над мрежата. Други кампании пък стоварват в заразения компютър програмен код, който изпълнява програми за търсене на ценни данни и тяхното ексфилтриране от атакуваната мрежа.
Атаките, базирани на USB, ще продължат
Въпреки че USB атаките изискват физически достъп до целевите компютри, за да се постигне инфектирането, те имат уникални предимства, които ги правят както уместни, така и модерни през 2023 г.
Предимствата включват заобикаляне на повечето механизми за сигурност, осигуряване на първоначален достъп до корпоративни мрежи и възможност за заразяване на системи с добра „изолация“, изолирани от незащитени мрежи от съображения за сигурност.
Всяка система с USB порт може да бъде мишена, подчертават специалистите.