{"id":17210,"date":"2019-04-17T15:58:41","date_gmt":"2019-04-17T13:58:41","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17210"},"modified":"2020-11-12T19:58:33","modified_gmt":"2020-11-12T17:58:33","slug":"weaponized-usb-devices","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/weaponized-usb-devices\/17210\/","title":{"rendered":"Dispositivi USB infetti come vettori d’attacco"},"content":{"rendered":"

I dispositivi USB sono la fonte principale di malware per quanto i riguarda i sistemi di controllo industriali: \u00e8 quanto ha affermato Luca Buongiorni di Bentley Systems durante il suo intervento al #TheSAS2019. La maggior parte delle persone coinvolte in qualche modo nel settore della sicurezza ha gi\u00e0 ascoltato aneddoti di USB cadute \u201caccidentalmente\u201d nei parcheggi<\/a>: un racconto che rappresenta sempre un buon esempio e che vale la pena ricordare ad ogni occasione.<\/p>\n


\nUn\u2019altra storia (reale) che coinvolge le USB riguarda un dipendente che lavorava in un impianto industriale e che voleva vedere il film La La Land<\/em>; aveva scaricato il film su un a chiavetta per guardarlo all\u2019ora di pranzo. Comincia proprio cos\u00ec la storia dell\u2019infezione di un sistema air-gapped di un impianto nucleare, un incidente che si sarebbe potuto facilmente evitare e che invece ha messo in grave pericolo un\u2019infrastruttura critica<\/a>.<\/p>\n

Eppure, la gente spesso dimentica che i dispositivi USB non sono solo le chiavette tradizionali. Tra i cosiddetti Human Interface Device (HID)<\/em> vanno inclusi tastiere e mouse, cavi per ricaricare lo smartphone e, per assurdo, anche le lampade al plasma o le tazze termiche, tutti dispositivi che possono essere uno strumento per colpire i sistemi di controllo industriali.<\/p>\n

Breve storia delle USB come vettore di attacco<\/h3>\n

Nonostante in molti se ne dimentichino, utilizzare i dispositivi USB come strumenti di infezione non \u00e8 cosa nuova: il primo di questi dispositivi risale al 2010 e si basava su una piccola scheda programmabile chiamata Teensy. Era dotata di connettore USB e poteva fungere da HID (ad esempio, poteva mandare a un PC le battute di una tastiera). Gli hacker si resero presto conto che questi dispositivi potevano essere utilizzati per i penetration test e arrivarono a creare una versione programmata per creare nuovi utenti, lanciare programmi dove si aggiungevano back door e persino iniettare un malware copiandolo o scaricandolo da un sito specifico.<\/p>\n

La prima versione di questo Teensy modificato si chiamava PHUKD<\/a>, seguito da Kautilya<\/a>, che era compatibile con le schede Arduino, pi\u00f9 diffuse. E poi venne Rubberducky, probabilmente il tool USB di emulazione di tastiera pi\u00f9 conosciuto grazie a Mr. Robot<\/em> e che aveva le sembianze di una normale USB. Bash Bunny era invece un dispositivo pi\u00f9 potente, utilizzato per colpire gli sportelli bancomat<\/a>.<\/p>\n

Alla persona che invent\u00f2 PHUKD venne subito un\u2019altra idea, e cre\u00f2 un malware infetto con un Trojan contenente una scheda di pentesting: oltre a funzionare come un mouse normale, aveva le stesse capacit\u00e0 di PHUKD. Dal punto di vista dell\u2019ingegneria sociale, risulta molto pi\u00f9 facile utilizzare i veri HID per penetrare nei sistemi rispetto alle chiavette USB utilizzate per questo scopo. In molti, infatti, sanno che \u00e8 meglio evitare di collegare al proprio PC una chiavetta sconosciuta, ma in pochi si preoccupano di tastiere e mouse.<\/p>\n

La seconda generazione di dispositivi USB usati come strumenti di infezione risale al 2014-2015 e comprendeva i tristemente famosi dispositivi basati su BadUSB<\/a>. Vale la pena menzionare anche TURNIPSCHOOL e Cottonmouth, che sembra siano stati sviluppati dalla US National Security Agency (NSA) statunitense. Si trattava di dispositivi cos\u00ec piccoli che potevano essere inseriti in un cavo USB e utilizzati per estrarre dati dai computer (anche da quei computer non collegati alla rete). Nessuna si preoccupa della pericolosit\u00e0 di un cavo, giusto?<\/p>\n

La situazione attuale dei dispositivi USB usati come vettori di attacco<\/h3>\n

La terza generazione dei tool USB di pentesting ci porta a tutt\u2019un altro livello. Uno di questi tool \u00e8 WHID Injector, che sarebbe in pratica Rubberducky con connessione Wi-Fi. E grazie alla connessione, non c\u2019\u00e8 bisogno di programmarlo come si faceva un tempo. Un hacker gestisce il tool in remoto, il che conferisce maggiore flessibilit\u00e0 e anche la possibilit\u00e0 di lavorare con sistemi operativi differenti. Un altro tool di terza generazione \u00e8 P4wnP1, che si basa su Raspberry Pi ed \u00e8 come Bash Bunny ma con funzionalit\u00e0 aggiuntive, compresa la connessione wireless.<\/p>\n

Naturalmente, sia WHID Injector, sia Bash Bunny hanno dimensioni tali da poter essere inseriti in una tastiera o in un mouse. In questo video viene mostrato un portatile che non \u00e8 connesso ad alcuna rete via USB, Ethernet o Wi-Fi ma a cui \u00e8 collegata una tastiera su cui \u00e8 stato installato un Trojan e che consente ai cybercriminali di eseguire comandi e aprire app in remoto.<\/p>\n

I piccoli dispositivi USB come i due menzionati possono anche essere programmati per avere le sembianze di un determinato modello HID, con lo scopo di bypassare le politiche di sicurezza di quelle aziende che utilizzano solo mouse e tastiere di un certo vendor. I tool come WHID Injector possono essere dotati anche di microfono per operazioni di sorveglianza audio o per spiare le persone di una certa installazione. O peggio, un dispositivo come questi \u00e8 sufficiente per mettere a repentaglio l\u2019intera rete, se non segmentata adeguatamente.<\/p>\n

Come difendersi<\/h3>\n

Mouse e tastiere con Trojan installati, cos\u00ec come cavi dannosi e di sorveglianza, sono una minaccia concreta anche per i sistemi air-gapped. Al giorno d\u2019oggi, i tool per effettuare questo genere di attacchi possono essere acquistati a prezzi contenuti e programmati senza avere particolari capacit\u00e0 specifiche, per questo tali minacce vanno tenuto sotto controllo.<\/p>\n

Per proteggere le infrastrutture critiche da queste minacce, bisogna utilizzare un approccio multilivello.<\/p>\n