روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ لوکا بونگیورنی از شرکت نرمافزاری بنتلی سیستم در طول سخنرانیاش در #TheSAS2019، دستگاههای یواسبی را اصلیترین منابعِ بدافزارها برای سیستمهای نظارتی صنعتی خواند. بیشتر افرادی که به نحوی با امنیت سر و کار دارند داستان قدیمیِ افتادن تصادفیِ فلشدرایوها در پارکینگ به گوششان رسیده است- داستان امنیتی محبوب تأثیرگذاری که مدام تعریف میشود.
داستان -واقعی- دیگر در مورد فلشدرایوهای یواسبی، داستان کارمند یک شرکت صنعتی بود که میخواست فیلم لالالند را ببیند و برای همین تایم ناهار، شروع کرد به دانلود این فیلم روی فلشدرایو. و اینطور شد که سیستم مبتنی بر معیار شبکه شکاف هوا[1] این نیروگاه هستهای آلوده شد- داستانی کاملاً آشنا از آلودگی زیرساختی حیاتی. اما افراد اصولاً فراموش میکنند دستگاههای یواسبی تنها به فلشدرایوها محدود نمیشوند. دستگاههای رابط انسان (HIDs) همچون کیبورد و موس، کابلهای شارژ اسمارتفون و حتی چیزهایی از قبیل گوی پلاسما و ماگهای حرارتی میتوانند جوری دستکاری شوند تا سیستمهای نظارتی صنعتی را مورد هدف قرار دهند.
تاریخچهای کوتاه از USBهایی که به عنوان حربهای برای حمله به کار رفتند
با وجود فراموشکاری افراد، اخبار یواسبیهایی که به عنوان حربه از آنها استفاده میشود چندان هم تازه نیست. اولین باری که چنین دستگاههایی نوشته شدند به سال 2010 برمیگردد. این دستگاهها در واقع مبتنی بر صفحهی کوچک قابلبرنامهریزی به نام تینسی (Teensy) و مجهز به کانکتور یواسبی بودند که میتوانستند همچون HIDها عمل کنند. آنها در حقیقت ضربات روی دکمههای کیبود را به پیسی ارسال میکردند. هکرها متوجه شدند که از این دیوایسها میشود برای تست نفوذ استفاده کرد. از همین رو موفق به ساخت نسخهی برنامهنویسیشدهای شدند که کاربران جدیدی میساخت؛ برنامههایی را بکُدر اضافه میکرد اجرا و بدافزار را یا با کپی آن و یا دانلودش از وبسایتی خاص تزریق میکرد. اولین نسخه از این تینسیِ دستکاریشده PHUKD. Kautilya, نام داشت که با صفحات محبوب Arduino (که بعداً تولید شد) سازگاری داشت. بعد سر و کلهی Rubberducky پیدا شد- شاید بشود آن را بهترین ابزار یواسبی شبیهسازی ضربات کیبورد قلمداد کرد. ابزار قدرتمندتری موسوم به Bash Bunny نیز در سری حملاتی که به دستگاههای خودپرداز مورد استفاده قرار گرفت.
شخصی که PHUKD را اختراع کرده بود به سرعت ایدهی موسِ تروجانزده به ذهنش خطور کرد (با یک صفحهی تست نفوذ، جاسازیشده داخلش). بنابراین علاوه بر اینکه کارایی معمول یک موس را داشت همچنین میتوانست هر کاری را PHUKD قادر بود نیز انجام دهد. از دیدگاه مهندسی اجتماعی، استفاده از HID واقعی به منظور نفوذ به سیستمها شاید حتی سادهتر از به کارگیری خود یواسبیها (دقیقاً به همان مقصود) باشد؛ زیرا حتی افرادی که به حد کافی دانش دارند که نخواهند یک درایو ناشناخته را به دستگاه پیسی خود نزنند معمولاً هیچ نگرانی در مورد کیبورد یا موس ندارند.
تولید نسل دوم دستگاههای مجهز به یواسبی به عنوان حربههای حمله در طول سالهای 2014-2015 کلید خورد و شامل دستگاههای بدنام مبتنی بر BadUSB میشد. گفته میشود TURNIPSCHOOL و Cottonmouth توسط آژانس امنیت ملی آمریکا (NSA) ساخته شد و همچنین جالب است بدانید: این دستگاهها آنقدر کوچک بودند که میتوانستند داخل کابل یواسبی جا شوند و برای انتقال اطلاعات آلوده مورد استفاده قرار گیرند. تنها یک کابل ساده- کسی حتی فکرش هم نمیکند، نه؟
دستگاههای یواسبی در شرایط مدرن
نسل سوم ابزارهای تست نفوذ یواسبی موج مدرنی به راه انداخت. یکی از آنها WHID Injector نام دارد که اساساً Rubberducky است با کمی تغییرات (به اضافهی کانکشن وایفای). از آنجایی که به اتصال وایفای مجهز است دیگر نیازی نیست ابتدا (برای وظایفی که باید انجام دهد) برنامهنویسی شود. فردِ هکر میتواند این ابزار را از راه دور تحت نظارت قرار دهد که همین سطح جدیدی از انعطافپذیری را به همراه میآورده و همچنین سازگاری با چندین سیستمعامل مختلف را ممکن میسازد. ابزار نسل سوم دیگر P4wnP1 نام دارد که بر پایهی Raspberry Pi است و به Bash Bunny شباهت دار (هر چند کارکردش بیشتر است: اتصال بیسیم).
و البته هر دوی WHID Injector و Bash Bunny به حد کافی کوچک هستند که بتوان آنها را در کیبورد یا موس جاسازی کرد. در ویدیوی زیر، لپتاپی را خواهید دید که نه به یواسبی وصل است، نه به اترنت و نه به وایفای؛ اما کیبورد تروجانزده در ضمیمهی خود دارد که به مهاجم ریموت اجازه میدهد تا فرمانها را انجام داده و اپها را اجرا کند.
دستگاههای کوچک یواسبی مانند همین دو تایی که در بالا اشاره کردیم حتی می توانند طوری برنامهنویسی شوند که شبیه به مدل خاصی از یک HID باشند و از این طریق سیاستهای امنیتیِ شرکتهایی را که تنها موس و کیبورد فروشندگان خاص را قبول میکنند دور بزنند. ابزارهایی همچون WHID Injector همچنین میتوانند به میکروفون هم مجهز باشند تا بدینوسیله نظارت صوتی داشته باشند و جاسوسی افراد را بکنند. بدتر اینکه، چنین دستگاهی برای خرابکاری و دستکاری کل شبکه کافیست؛ مگر آنکه شبکه به طرز صحیحی جداسازی شده باشد.
راهکارهای جلوگیری
موسها و کیبوردهای تروجانزده و نیز کابلهای مخصوص جاسوسی یا مخرب، تهدیدهای جدیای هستند و میتوانند حتی برای دستکاری سیستمهای مبتنی بر معیار شبکه شکاف هوا نیز مورد استفاده قرار گیرند. این روزها، ابزارهایی که برای چنین حملاتی استفاده میشوند را میتوان با قیمتهایی بسیار پایین خریداری کرد و با کمترین سواد و دانش آنها را برنامهنویسی نمود. بنابراین هیچگاه نباید چنین تهدیدهایی را دستکم گرفت.
برای محافظت از زیرساختهای حیاتی در برابر چنین تهدیدهایی باید از رویکردی چندلایهای استفاده کرد:
- ابتدا از امنیت فیزیکی مطمئن شوید تا پرسنلی که صلاحیت ندارد نتواند دستگاههای یواسبی متفرقه به سیستمهای نظارتی صنعتی بزند. همچنین پورتهای یواسبی بلااستفاده را (روی چنین سیستمهایی) مسدود کرده و نگذارید HIDهایی که از قبل وصلند برداشته شوند.
- به کارمندان خود آموزش دهید تا به تمامی انواع تهدیدها از جمله دستگاههایی که به عنوان حربه مورد استفاده قرار میگیرند واقف باشند (که دیگر ماجرای فیلم لالالند که برایتان تعریف کردیم دوباره پیش نیاید).
- شبکه را به طور صحیحی جداسازی کنید و دسترسی به حقوق را مدیریت نمایید تا مهاجمین نتوانند به سیستمها (که برای کنترل زیرساختهای حیاتی مورد استفاده قرار میگیرند) دسترسی پیدا کنند.
- همهی سیستمهای داخل شرکت یا سازمان را با راهحلهای امنیتی محافظت کنید. این راهحلها قادرند هر نوع تهدیدی را شناسایی کنند. فناوری Kaspersky Endpoint Security به هیچ HID اختیار نخواهد داد مگر آنکه کاربر با استفاده از HID که از قبل مجوز دریافت کرده، کدی را وارد کند.
[1] Air gap
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.