USB устройствата отново са на мода, тъй като големи APT от Русия, Китай и други страни ги използват за кибератаки срещу BYOD.

Националните групи за киберзаплахи отново се обръщат към USB устройствата, за да компрометират строго охранявани правителствени организации и обекти от критичната инфраструктура.

След като от известно време излязоха от мода и със сигурност не бяха подпомогнати от блокирането на COVID, USB отново се оказват ефективен начин за заплахите на високо ниво да заобиколят физически защитата на особено чувствителни организации.

В основната си презентация тази седмица на CPX 2024 в Лас Вегас Мая Хоровиц, вицепрезидент по изследванията в Check Point, отбеляза, че през 2023 г. USB-тата са основен вектор на инфекция за поне три различни основни групи заплахи: Китайската Camaro Dragon (известна още като Mustang Panda, Bronze President, Earth Preta, Luminous Moth, Red Delta, Stately Taurus); руската Gamaredon (известна още като Primitive Bear, UNC530, ACTINIUM, Shuckworm, UAC-0010, Aqua Blizzard) и хакерите зад Raspberry Robin.

„В продължение на доста години не чувахме за USB устройства – всичко беше кибератаки през интернет“, казва Хоровиц пред Dark Reading. „Но обикновено при  заплахите има мода – една атака е успешна, така че други ще я копират. Мисля, че точно това започваме да виждаме при USB устройствата, като отново се появява този вектор на атака.“

Възраждаща се заплаха от USB устройствата

Колко често ви се е случвало да отворите вратата си, да видите пакет от Amazon на килимчето за посрещане и да забравите какво всъщност сте поръчали преди два дни?

„Наскоро работихме с енергийна компания, където един от служителите получи кутия на Amazon с лента на Amazon“, спомня си Даниел Уайли, ръководител на отдела за управление на заплахи в Check Point, по време на пресконференция в сряда. „Вътре имаше запечатана флашка  USB SanDisk – напълно нова. Той мислеше, че я е поръчала жена му. Така че той я отворил, включил…. Всичко останало беше верижна реакция. Престъпникът успя да проникне през тяхната VPN мрежа. Да кажем, че енергийната компания не е била на добро място“.

Това, че става дума за служител на енергийната компания, не е случайно – критичната индустрия често разделя ИТ и ОТ мрежите с въздушни пролуки или еднопосочни шлюзове, през които интернет базираните атаки не могат да преминат. USB устройствата осигуряват мост над тази пропаст, както демонстрира известният Stuxnet преди повече от десетилетие.

USB атаките могат да бъдат полезни и без това ограничение на въздушната междина. Помислете за служител на болница в Обединеното кралство, който неотдавна е посетил конференция в Азия. По време на конференцията той споделил презентацията си с други участници чрез флашка. За съжаление един от колегите му е бил заразен със зловреден софтуер Camaro Dragon, който служителят на болницата прихванал и занесъл със себе си в Обединеното кралство, заразявайки цялата корпоративна мрежа на болницата.

Както припомни Хоровиц в своята презентация, зловредният софтуер е отворил задна врата в новозаразените машини, но също така е действал като червей, предавайки се на всички нови устройства, които са в контакт с него чрез USB. Това му е позволило да се разпространи извън Западна Европа в страни като Индия, Мианмар, Русия и Южна Корея.

Raspberry Robin се разпространява по същия начин, като дава възможност на участниците в ransomware операции да работят по целия свят. А USB устройствата на Gamaredon пренесоха неговия червей LitterDrifter в толкова различни страни като Чили, Германия, Полша, Южна Корея, Украйна, САЩ и Виетнам.

Какво да правим с тези досадни USB устройства

Има прости стъпки, които организациите могат да предприемат, за да се предпазят от повечето заплахи, свързани с USB, като например винаги да разделят личните и служебните устройства и да се отнасят с повишено внимание към последните.

„Някои организации сканират само файловете, които са изтеглени от интернет“, казва Хоровиц. „Това е погрешно, защото или участниците в заплахи, или служителите, които искат да причинят щети, могат да донесат собствено USB устройство, за да заобиколят тази защита, запазена за файловете, които са изтеглени от интернет.“

Индустриите от критичната инфраструктура трябва да направят още една крачка напред: санитарни станции, строги политики за сменяеми устройства и лента върху USB порта могат да свършат работа в краен случай.

За организациите, които не искат – или не могат да си позволят – да се откажат от сменяемите носители, „Bring Your Own Device (BYOD) е ОК, можете да го направите, но това означава, че се нуждаете от повече нива на сигурност“, казва Хоровиц пред Dark Reading.

И най-важното от всичко: „Проверявайте поръчките си в Amazon, преди да ги отворите“, заканва се Уайли.