I dispositivi USB sono la fonte principale di malware per quanto i riguarda i sistemi di controllo industriali: è quanto ha affermato Luca Buongiorni di Bentley Systems durante il suo intervento al #TheSAS2019. La maggior parte delle persone coinvolte in qualche modo nel settore della sicurezza ha già ascoltato aneddoti di USB cadute “accidentalmente” nei parcheggi: un racconto che rappresenta sempre un buon esempio e che vale la pena ricordare ad ogni occasione.
Un’altra storia (reale) che coinvolge le USB riguarda un dipendente che lavorava in un impianto industriale e che voleva vedere il film La La Land; aveva scaricato il film su un a chiavetta per guardarlo all’ora di pranzo. Comincia proprio così la storia dell’infezione di un sistema air-gapped di un impianto nucleare, un incidente che si sarebbe potuto facilmente evitare e che invece ha messo in grave pericolo un’infrastruttura critica.
Eppure, la gente spesso dimentica che i dispositivi USB non sono solo le chiavette tradizionali. Tra i cosiddetti Human Interface Device (HID) vanno inclusi tastiere e mouse, cavi per ricaricare lo smartphone e, per assurdo, anche le lampade al plasma o le tazze termiche, tutti dispositivi che possono essere uno strumento per colpire i sistemi di controllo industriali.
Breve storia delle USB come vettore di attacco
Nonostante in molti se ne dimentichino, utilizzare i dispositivi USB come strumenti di infezione non è cosa nuova: il primo di questi dispositivi risale al 2010 e si basava su una piccola scheda programmabile chiamata Teensy. Era dotata di connettore USB e poteva fungere da HID (ad esempio, poteva mandare a un PC le battute di una tastiera). Gli hacker si resero presto conto che questi dispositivi potevano essere utilizzati per i penetration test e arrivarono a creare una versione programmata per creare nuovi utenti, lanciare programmi dove si aggiungevano back door e persino iniettare un malware copiandolo o scaricandolo da un sito specifico.
La prima versione di questo Teensy modificato si chiamava PHUKD, seguito da Kautilya, che era compatibile con le schede Arduino, più diffuse. E poi venne Rubberducky, probabilmente il tool USB di emulazione di tastiera più conosciuto grazie a Mr. Robot e che aveva le sembianze di una normale USB. Bash Bunny era invece un dispositivo più potente, utilizzato per colpire gli sportelli bancomat.
Alla persona che inventò PHUKD venne subito un’altra idea, e creò un malware infetto con un Trojan contenente una scheda di pentesting: oltre a funzionare come un mouse normale, aveva le stesse capacità di PHUKD. Dal punto di vista dell’ingegneria sociale, risulta molto più facile utilizzare i veri HID per penetrare nei sistemi rispetto alle chiavette USB utilizzate per questo scopo. In molti, infatti, sanno che è meglio evitare di collegare al proprio PC una chiavetta sconosciuta, ma in pochi si preoccupano di tastiere e mouse.
La seconda generazione di dispositivi USB usati come strumenti di infezione risale al 2014-2015 e comprendeva i tristemente famosi dispositivi basati su BadUSB. Vale la pena menzionare anche TURNIPSCHOOL e Cottonmouth, che sembra siano stati sviluppati dalla US National Security Agency (NSA) statunitense. Si trattava di dispositivi così piccoli che potevano essere inseriti in un cavo USB e utilizzati per estrarre dati dai computer (anche da quei computer non collegati alla rete). Nessuna si preoccupa della pericolosità di un cavo, giusto?
La situazione attuale dei dispositivi USB usati come vettori di attacco
La terza generazione dei tool USB di pentesting ci porta a tutt’un altro livello. Uno di questi tool è WHID Injector, che sarebbe in pratica Rubberducky con connessione Wi-Fi. E grazie alla connessione, non c’è bisogno di programmarlo come si faceva un tempo. Un hacker gestisce il tool in remoto, il che conferisce maggiore flessibilità e anche la possibilità di lavorare con sistemi operativi differenti. Un altro tool di terza generazione è P4wnP1, che si basa su Raspberry Pi ed è come Bash Bunny ma con funzionalità aggiuntive, compresa la connessione wireless.
Naturalmente, sia WHID Injector, sia Bash Bunny hanno dimensioni tali da poter essere inseriti in una tastiera o in un mouse. In questo video viene mostrato un portatile che non è connesso ad alcuna rete via USB, Ethernet o Wi-Fi ma a cui è collegata una tastiera su cui è stato installato un Trojan e che consente ai cybercriminali di eseguire comandi e aprire app in remoto.
I piccoli dispositivi USB come i due menzionati possono anche essere programmati per avere le sembianze di un determinato modello HID, con lo scopo di bypassare le politiche di sicurezza di quelle aziende che utilizzano solo mouse e tastiere di un certo vendor. I tool come WHID Injector possono essere dotati anche di microfono per operazioni di sorveglianza audio o per spiare le persone di una certa installazione. O peggio, un dispositivo come questi è sufficiente per mettere a repentaglio l’intera rete, se non segmentata adeguatamente.
Come difendersi
Mouse e tastiere con Trojan installati, così come cavi dannosi e di sorveglianza, sono una minaccia concreta anche per i sistemi air-gapped. Al giorno d’oggi, i tool per effettuare questo genere di attacchi possono essere acquistati a prezzi contenuti e programmati senza avere particolari capacità specifiche, per questo tali minacce vanno tenuto sotto controllo.
Per proteggere le infrastrutture critiche da queste minacce, bisogna utilizzare un approccio multilivello.
- Occupatevi innanzitutto della sicurezza fisica; in questo modo, nessuno potrà collegare dispositivi USB random ai sistemi di controllo industriali. Inoltre, bloccate fisicamente le porte USB di questi sistemi ed evitate la rimozione degli HID già collegati;
- Organizzate formazioni per il personale affinché siano a conoscenza delle diverse minacce, compresi i dispositivi USB dannosi (ricordiamo l’incidente con il film La La Land menzionato);
- Segmentate la rete adeguatamente e gestite con consapevolezza le autorizzazioni di accesso per evitare che i cybercriminali possano raggiungere i sistemi utilizzati per il controllo e la gestione delle infrastrutture critiche;
- Proteggete tutti i sistemi dell’infrastruttura con soluzioni in grado di identificare ogni tipo di minaccia. La tecnologia di Kaspersky Endpoint Security for Business non autorizzerà alcun tipo di HID a meno che l’utente inserisca un codice mediante un altro HID già autorizzato.