Présenté comme preuve de concept en 2014, il s’agit de la première utilisation connue de l’exploit BadUSB dans la nature.
Des chercheurs en sécurité ont découvert une attaque au cours de laquelle un dongle USB conçu pour se comporter subrepticement comme un clavier a été envoyé à une entreprise sous le couvert d’une carte-cadeau Best Buy. Cette technique a été utilisée par des professionnels de la sécurité lors de tests de pénétration physique dans le passé, mais elle a très rarement été observée dans la nature. Cette fois, c’est un groupe cybercriminel sophistiqué connu qui est probablement derrière lui.
L’attaque a été analysée et divulguée par des chercheurs en sécurité de Trustwave SpiderLabs, qui l’ont appris de l’associé commercial de l’un des membres de leur équipe. Ziv Mador, vice-président de la recherche sur la sécurité, Trustwave SpiderLabs, a déclaré à CSO qu’une entreprise américaine du secteur hôtelier avait reçu l’USB à la mi-février.
Le paquet contenait une lettre d’aspect officiel avec le logo de Best Buy et d’autres éléments de marque informant le destinataire qu’il avait reçu une carte-cadeau de 50 $ pour être un client régulier. « Vous pouvez le dépenser sur n’importe quel produit de la liste des éléments présentés sur une clé USB », lit-on dans la lettre. Heureusement, le dongle USB n’a jamais été inséré dans aucun ordinateur et a été transmis pour analyse, car la personne qui l’a reçu avait reçu une formation en matière de sécurité.
The BadUSB
Les chercheurs ont tracé le modèle de dongle USB sur un site Web taïwanais où il est vendu pour l’équivalent de 7 $ sous le nom BadUSB Leonardo USB ATMEGA32U4. En 2014, lors de la conférence sur la sécurité de Black Hat USA, une équipe de chercheurs des Security Research Labs (SRLabs) de Berlin a démontré que le micrologiciel de nombreux dongles USB peut être reprogrammé de sorte que, lorsqu’il est inséré dans un ordinateur, il signale qu’il est en fait un clavier et commence à envoyer des commandes qui pourraient être utilisées pour déployer des logiciels malveillants. Les chercheurs ont surnommé cette attaque BadUSB et c’est différent de simplement mettre des logiciels malveillants sur une clé USB et compter sur l’utilisateur pour l’ouvrir.
Le périphérique USB Leonardo que Trustwave a reçu et analysé contient un microcontrôleur Arduino ATMEGA32U4 qui a été programmé pour agir comme un clavier virtuel et exécuter un script PowerShell obscurci via la ligne de commande. Le script atteint un domaine configuré par les attaquants et télécharge une charge utile PowerShell secondaire qui déploie ensuite une troisième charge utile basée sur JavaScript qui est exécutée via le moteur hôte de script intégré de Windows.
Cette troisième charge utile JavaScript génère un identifiant unique pour l’ordinateur et l’enregistre sur un serveur de commande et de contrôle distant. Il reçoit ensuite du code JavaScript obscurci supplémentaire du serveur qu’il exécute. Le but de cette quatrième charge utile est de recueillir des informations sur le système, telles que les privilèges de l’utilisateur, le nom de domaine, le fuseau horaire, la langue, les informations sur le système d’exploitation et le matériel, une liste des processus en cours d’exécution, si Microsoft Office et Adobe Acrobat sont installés, etc. .

Après cette routine de collecte de renseignements, la porte dérobée JavaScript entre dans une boucle qui vérifie périodiquement avec le serveur pour voir s’il y a de nouvelles commandes à exécuter.
[Préparez-vous à devenir un professionnel certifié des systèmes de sécurité de l’information avec ce cours en ligne complet de PluralSight. Offrant maintenant un essai gratuit de 10 jours! ]
« Le fait qu’ils soient également bon marché et facilement accessibles à tous signifie que ce n’était qu’une question de temps pour voir cette technique utilisée par les criminels dans la nature », ont déclaré les chercheurs de Trustwave dans leur rapport. « Étant donné que les périphériques USB sont omniprésents, utilisés et vus partout, certains les considèrent comme inoffensifs et sûrs. D’autres peuvent être très curieux au sujet du contenu d’un périphérique USB inconnu. Si cette histoire nous apprend quelque chose, c’est qu’il ne faut jamais faire confiance à un tel périphérique. « 
Connexion FIN7 potentielle
Mador dit à CSO que son équipe ne savait pas qui étaient les attaquants, mais après avoir vu les informations dans le rapport de Trustwave, les chercheurs en sécurité Costin Raiu de Kaspersky Lab et Michael Yip ont commenté sur Twitter que le malware utilisé et l’infrastructure correspondaient à ceux utilisés par le gang FIN7. .
FIN7, également connu sous le nom de Carbanak, est un groupe cybercriminel à motivation financière qui cible les entreprises américaines des secteurs de la vente au détail, de la restauration et de l’hôtellerie depuis environ 2015. Le groupe est connu pour utiliser des techniques sophistiquées pour se déplacer latéralement à l’intérieur de réseaux et de systèmes compromis avec l’objectif de voler des informations de carte de paiement. Des chercheurs de la société de sécurité Morphisec ont estimé dans le passé que les membres de FIN7 gagnaient environ 50 millions de dollars par mois grâce à leurs activités.
La cible de l’attaque de BadUSB était une entreprise du secteur hôtelier américain qui est conforme au ciblage précédent de FIN7, mais bien que le malware (GRIFFON) et l’infrastructure correspondent à FIN7, Raiu dit à CSO que c’est la première fois qu’il voit le groupe utiliser ce type de vecteur d’attaque physique basé sur un dongle USB.

Plus d’attaques BadUSB en route?
Les attaques impliquant des dongles USB reprogrammés pour agir comme des claviers n’ont pas été largement utilisées jusqu’à présent car elles ne sont pas très évolutives. Un tel dongle populaire auprès des testeurs de pénétration est le USB Rubber Ducky. Il est fabriqué par une société appelée Hak5 et coûte 50 $, ce qui n’est pas beaucoup d’argent pour un professionnel, mais il s’additionne rapidement si vous êtes un attaquant et que vous souhaitez infecter de nombreuses victimes, d’autant plus que le taux de réussite ne sera pas 100 pourcent.

Cependant, à 7 $ chacun (et probablement moins s’ils sont achetés en grandes quantités), des dongles malveillants comme le dispositif BadUSB Leonardo rendent les attaques BadUSB réelles bien plus viables. Les attaquants n’ont même pas à faire beaucoup d’efforts, comme créer un micrologiciel personnalisé pour convertir des clés USB non malveillantes prêtes à l’emploi en clés malveillantes. Il leur suffit de charger leur charge utile personnalisée dans un appareil prêt à l’emploi et de l’envoyer par la poste.
Néanmoins, les attaques de ce type devraient cibler un nombre relativement restreint de sociétés soigneusement sélectionnées sur lesquelles les attaquants ont déjà effectué des recherches. d’après Mador de Trustwave, le choix de se faire passer pour Best Buy n’aurait peut-être pas été un accident. Les attaquants peuvent utiliser les informations en ligne pour trouver les sous-traitants et les fournisseurs d’une entreprise.
De plus, dans ce cas, la lettre frauduleuse a été envoyée à l’adresse de l’entreprise, mais avec les cadres supérieurs et autres employés clés travaillant désormais à domicile en raison de la pandémie de COVID-19, le risque est encore plus élevé.
Au travail, ces lettres seraient probablement reçues par le personnel administratif, qui pourrait ensuite apporter l’appareil à l’équipe informatique ou de sécurité s’il a été correctement formé, de sorte que plusieurs personnes pourraient regarder l’appareil avant de l’utiliser, explique Mador. Cependant, à la maison, il n’y a pas de personnel de sécurité et même si le destinataire prévu a reçu une formation de sensibilisation à la sécurité au travail, l’appareil pourrait être trouvé et utilisé par l’un des membres de sa famille avant qu’il ne puisse l’arrêter.
Si les pirates compromettent un appareil sur le réseau domestique de la victime, ils réussiront éventuellement à pirater également leur ordinateur de travail, ce qui leur fournira probablement un accès au réseau ou aux systèmes de l’entreprise via une connexion VPN. C’est pourquoi les professionnels de la sécurité sont préoccupés par la situation du travail forcé à domicile qui est actuellement en vigueur.
« Les gens savent maintenant qu’ils ne devraient pas cliquer sur des liens ou ouvrir des pièces jointes provenant de sources inconnues ou non fiables », a déclaré Mador. « Mais en ce qui concerne les dongles USB, beaucoup n’utilisent toujours pas le bon jugement.