Présenté comme preuve de concept en 2014, il s’agit de la première utilisation connue de l’exploit BadUSB dans la nature.
Des chercheurs en sécurité ont découvert une attaque au cours de laquelle un dongle USB conçu pour se comporter subrepticement comme un clavier a été envoyé à une entreprise sous le couvert d’une carte-cadeau Best Buy. Cette technique a été utilisée par des professionnels de la sécurité lors de tests de pénétration physique dans le passé, mais elle a très rarement été observée dans la nature. Cette fois, c’est un groupe cybercriminel sophistiqué connu qui est probablement derrière lui.
L’attaque a été analysée et divulguée par des chercheurs en sécurité de Trustwave SpiderLabs, qui l’ont appris de l’associé commercial de l’un des membres de leur équipe. Ziv Mador, vice-président de la recherche sur la sécurité, Trustwave SpiderLabs, a déclaré à CSO qu’une entreprise américaine du secteur hôtelier avait reçu l’USB à la mi-février.
Le paquet contenait une lettre d’aspect officiel avec le logo de Best Buy et d’autres éléments de marque informant le destinataire qu’il avait reçu une carte-cadeau de 50 $ pour être un client régulier. « Vous pouvez le dépenser sur n’importe quel produit de la liste des éléments présentés sur une clé USB », lit-on dans la lettre. Heureusement, le dongle USB n’a jamais été inséré dans aucun ordinateur et a été transmis pour analyse, car la personne qui l’a reçu avait reçu une formation en matière de sécurité.
The BadUSB
Les chercheurs ont tracé le modèle de dongle USB sur un site Web taïwanais où il est vendu pour l’équivalent de 7 $ sous le nom BadUSB Leonardo USB ATMEGA32U4. En 2014, lors de la conférence sur la sécurité de Black Hat USA, une équipe de chercheurs des Security Research Labs (SRLabs) de Berlin a démontré que le micrologiciel de nombreux dongles USB peut être reprogrammé de sorte que, lorsqu’il est inséré dans un ordinateur, il signale qu’il est en fait un clavier et commence à envoyer des commandes qui pourraient être utilisées pour déployer des logiciels malveillants. Les chercheurs ont surnommé cette attaque BadUSB et c’est différent de simplement mettre des logiciels malveillants sur une clé USB et compter sur l’utilisateur pour l’ouvrir.
Le périphérique USB Leonardo que Trustwave a reçu et analysé contient un microcontrôleur Arduino ATMEGA32U4 qui a été programmé pour agir comme un clavier virtuel et exécuter un script PowerShell obscurci via la ligne de commande. Le script atteint un domaine configuré par les attaquants et télécharge une charge utile PowerShell secondaire qui déploie ensuite une troisième charge utile basée sur JavaScript qui est exécutée via le moteur hôte de script intégré de Windows.
Cette troisième charge utile JavaScript génère un identifiant unique pour l’ordinateur et l’enregistre sur un serveur de commande et de contrôle distant. Il reçoit ensuite du code JavaScript obscurci supplémentaire du serveur qu’il exécute. Le but de cette quatrième charge utile est de recueillir des informations sur le système, telles que les privilèges de l’utilisateur, le nom de domaine, le fuseau horaire, la langue, les informations sur le système d’exploitation et le matériel, une liste des processus en cours d’exécution, si Microsoft Office et Adobe Acrobat sont installés, etc. .
Après cette routine de collecte de renseignements, la porte dérobée JavaScript entre dans une boucle qui vérifie périodiquement avec le serveur pour voir s’il y a de nouvelles commandes à exécuter.
[Préparez-vous à devenir un professionnel certifié des systèmes de sécurité de l’information avec ce cours en ligne complet de PluralSight. Offrant maintenant un essai gratuit de 10 jours! ]
« Le fait qu’ils soient également bon marché et facilement accessibles à tous signifie que ce n’était qu’une question de temps pour voir cette technique utilisée par les criminels dans la nature », ont déclaré les chercheurs de Trustwave dans leur rapport. « Étant donné que les périphériques USB sont omniprésents, utilisés et vus partout, certains les considèrent comme inoffensifs et sûrs. D’autres peuvent être très curieux au sujet du contenu d’un périphérique USB inconnu. Si cette histoire nous apprend quelque chose, c’est qu’il ne faut jamais faire confiance à un tel périphérique. «
Connexion FIN7 potentielle
Mador dit à CSO que son équipe ne savait pas qui étaient les attaquants, mais après avoir vu les informations dans le rapport de Trustwave, les chercheurs en sécurité Costin Raiu de Kaspersky Lab et Michael Yip ont commenté sur Twitter que le malware utilisé et l’infrastructure correspondaient à ceux utilisés par le gang FIN7. .
FIN7, également connu sous le nom de Carbanak, est un groupe cybercriminel à motivation financière qui cible les entreprises américaines des secteurs de la vente au détail, de la restauration et de l’hôtellerie depuis environ 2015. Le groupe est connu pour utiliser des techniques sophistiquées pour se déplacer latéralement à l’intérieur de réseaux et de systèmes compromis avec l’objectif de voler des informations de carte de paiement. Des chercheurs de la société de sécurité Morphisec ont estimé dans le passé que les membres de FIN7 gagnaient environ 50 millions de dollars par mois grâce à leurs activités.
La cible de l’attaque de BadUSB était une entreprise du secteur hôtelier américain qui est conforme au ciblage précédent de FIN7, mais bien que le malware (GRIFFON) et l’infrastructure correspondent à FIN7, Raiu dit à CSO que c’est la première fois qu’il voit le groupe utiliser ce type de vecteur d’attaque physique basé sur un dongle USB.
Plus d’attaques BadUSB en route?
Les attaques impliquant des dongles USB reprogrammés pour agir comme des claviers n’ont pas été largement utilisées jusqu’à présent car elles ne sont pas très évolutives. Un tel dongle populaire auprès des testeurs de pénétration est le USB Rubber Ducky. Il est fabriqué par une société appelée Hak5 et coûte 50 $, ce qui n’est pas beaucoup d’argent pour un professionnel, mais il s’additionne rapidement si vous êtes un attaquant et que vous souhaitez infecter de nombreuses victimes, d’autant plus que le taux de réussite ne sera pas 100 pourcent.
Cependant, à 7 $ chacun (et probablement moins s’ils sont achetés en grandes quantités), des dongles malveillants comme le dispositif BadUSB Leonardo rendent les attaques BadUSB réelles bien plus viables. Les attaquants n’ont même pas à faire beaucoup d’efforts, comme créer un micrologiciel personnalisé pour convertir des clés USB non malveillantes prêtes à l’emploi en clés malveillantes. Il leur suffit de charger leur charge utile personnalisée dans un appareil prêt à l’emploi et de l’envoyer par la poste.
Néanmoins, les attaques de ce type devraient cibler un nombre relativement restreint de sociétés soigneusement sélectionnées sur lesquelles les attaquants ont déjà effectué des recherches. d’après Mador de Trustwave, le choix de se faire passer pour Best Buy n’aurait peut-être pas été un accident. Les attaquants peuvent utiliser les informations en ligne pour trouver les sous-traitants et les fournisseurs d’une entreprise.
De plus, dans ce cas, la lettre frauduleuse a été envoyée à l’adresse de l’entreprise, mais avec les cadres supérieurs et autres employés clés travaillant désormais à domicile en raison de la pandémie de COVID-19, le risque est encore plus élevé.
Au travail, ces lettres seraient probablement reçues par le personnel administratif, qui pourrait ensuite apporter l’appareil à l’équipe informatique ou de sécurité s’il a été correctement formé, de sorte que plusieurs personnes pourraient regarder l’appareil avant de l’utiliser, explique Mador. Cependant, à la maison, il n’y a pas de personnel de sécurité et même si le destinataire prévu a reçu une formation de sensibilisation à la sécurité au travail, l’appareil pourrait être trouvé et utilisé par l’un des membres de sa famille avant qu’il ne puisse l’arrêter.
Si les pirates compromettent un appareil sur le réseau domestique de la victime, ils réussiront éventuellement à pirater également leur ordinateur de travail, ce qui leur fournira probablement un accès au réseau ou aux systèmes de l’entreprise via une connexion VPN. C’est pourquoi les professionnels de la sécurité sont préoccupés par la situation du travail forcé à domicile qui est actuellement en vigueur.
« Les gens savent maintenant qu’ils ne devraient pas cliquer sur des liens ou ouvrir des pièces jointes provenant de sources inconnues ou non fiables », a déclaré Mador. « Mais en ce qui concerne les dongles USB, beaucoup n’utilisent toujours pas le bon jugement.
L’attaque était effrayante et les impacts semblent très sérieux.
Les faits exposés devraient être connus de tous, mais sans devenir paranoïaque.
Je me demande pourquoi ce genre d’article est publié.
Le contenu de l’article était choquant, je ne savais pas que de tels caractères existaient.
Je ne sais pas si je me sentirai à l’aise d’utiliser des clés USB à l’avenir.
Je suis de plus en plus confuse, mais je crois que le sujet est important.
Cela fait réfléchir sur le degré de confiance que nous plaçons dans certains dispositifs.
Les détails techniques m’ont déconcerté, et je n’étais pas sûre de comprendre ce que cet article disait.
À quoi servent les cartes-cadeaux Best Buy ? J’espère que tout le monde est vigilant! ⚠️
Le sujet semble intrigant mais l’article est difficile à comprendre.
Ce genre de risque est difficile à éviter.
Une vraie menace pour la sécurité de tout le monde.
C’est étonnant de voir comment les cybercriminels utilisent ces techniques.
C’est très troublant et je ne sais pas quoi en penser.
Je vais être plus prudente avec les clés USB.
Je vais réfléchir à deux fois avant d’insérer une clé USB inconnue.
Merci pour cette information.
Je ne pensais pas que cela était possible !
Il est important de rester informé sur les menaces actuelles.
Savoir plus sur ces techniques peut aider à protéger nos données.
La sécurité informatique est vraiment complexe.
Le fait que cette carte-cadeau était en fait un dongle USB est très astucieux.
Je ne savais vraiment pas que cela pouvait arriver, c’est très surprenant!
(¬_¬) Les informations sur l’utilisation du dongle USB pour infecter un ordinateur sont très utiles.
Certaines personnes peuvent être très curieuses au sujet du contenu d’un périphérique USB inconnu.
Merci pour l’information captivante.
C’est étonnant que quelque chose de si petit puisse être utilisé pour une attaque cybercriminelle.
Heureusement que la personne qui l’a reçu avait reçu une formation en matière de sécurité.
Je ne crois pas que les clés USB étaient quelque chose de malveillant.
Maintenant je suis encore plus prudent avec les clés USB.
Je ne peux pas croire que cette attaque ait été transmise comme une simple carte-cadeau
Je me demande si cela arrivera plus souvent, c’est vraiment inquiétant
Je suis étonné que les dongles USB soient si peu chers, c’est effrayant
Espérons qu’il y aura des mesures de sécurité adéquates à l’avenir
Cela semble très compliqué, j’espère que les entreprise resteront en sécurité
Je ne savais pas que cette menac existait, inquiétant /
Ça a l’air d’être une méchante attaque, j’espère qu’ils attraperont les coupables (>.<)