Muchas personas piensan que la ciberdelincuencia tiene éxito en sus ataques cuando utilizan medios remotos. En parte, eso es verdad, por eso la mayoría de las noticias publicadas por los medios de comunicación tradicionales los que hablan sobre los ataques realizados por internet, redes sin cable, redes locales, etc.
Sin embargo, los criminales cibernéticos con experiencia, que poseen un objetivo potente o que tienen un blanco específico, pueden utilizar técnicas que escapan de lo convencional. Un gran ejemplo de esto es cuando el delincuente tiene la necesidad de ir personalmente hasta la empresa para dar el “puntapié inicial” en su campaña de ataque.
Los dispositivos USB, pen drives o USB Flash Drives (como prefiera llamarlos), pueden ser grandes aliados del atacante. La variedad va desde un simple pen drive conectado a la computadora de la víctima hasta un extensor entre el teclado y la computadora que graba todo lo que la víctima digite.
El Rubber Duck, por ejemplo, es un dispositivo USB malicioso que realiza ataques de inyección de comandos predefinidos. Estos comandos pueden permitir el acceso remoto a la computadora de la víctima y otras acciones. Además de ese, existen muchos otros dispositivos USB con fines maliciosos. Veremos otros más adelante.
Para poder entender este tipo de ataques que involucran estos dispositivos, es necesario entender la estructura de funcionamiento de los dispositivos USB en general.
Un pen drive está compuesto básicamente por un procesador, un bootloader, la RAM, el firmware, un controlador USB, LEDs y el área de almacenamiento masivo dentro del dispositivo.
Analicemos los principales componentes:
Se utiliza para cargar y almacenar el firmware (software fijo del dispositivo) en la RAM durante la ejecución.
Se utiliza para gestionar las consultas de lectura y grabación de datos realizadas en la unidad de almacenamiento masivo.
Los dispositivos USB poseen un tipo de almacenamiento masivo (MSC, Mass Storage Class), con el objetivo de permitir el acceso al almacenamiento interno. Otro tipo, llamado Attached SCSI, llegó para resolver los problemas de desempeño de su antecesor, y permite la rueda de identificación de comandos y conclusiones incompletas de los dispositivos USB de almacenamiento masivo.
Ahora que ya conoce un poco más sobre cómo funcionan los dispositivos USB, llegó el momento de ver cómo estos dispositivos pueden reprogramarse para fines maliciosos.
Los Descriptores de dispositivos USB (USB Device Descriptors) cuentan con información sobre la identificación del producto y del proveedor. Esta identificación está representada por un código de 16 dígitos. Las informaciones se utilizan para definir los tipos de dispositivos USB, como teclado y mouse, y pueden ser reprogramadas por medio de un firmware.
Allí radica el problema de seguridad, ya que el firmware podrá reprogramarse para que sea identificado por el sistema operativo como si fuera otro dispositivo (como un teclado, por ejemplo). La reprogramación del firmware en muchos dispositivos USB es posible debido a la falta de protección contra la grabación.
El sistema operativo confiará ciegamente en el dispositivo falsificado luego de que sea conectado a la computadora y haya instalado el driver. De esta manera es como puede ejecutar las acciones maliciosas.
Rubber Duck es una solución comercial de ataque por inyección de comandos/presión de teclas lanzada en 2010. Cuando se encuentra conectado a la computadora de la víctima, el Rubber Duck se “hará pasar” por un teclado que inyectará una secuencia de presión de teclas predefinida. A partir de ese momento, la forma de ataque principal es a través del acceso remoto a la computadora para capturar datos, entre otras cosas.
Es similar al Rubber Duck, pero permite que el invasor escoja el horario en que las teclas maliciosas serán presionadas.
Permite instalar rápidamente y de forma secreta backdoors y altera, en cuestión de segundos, las configuraciones de DNS en una computadora con el OS X desbloqueado, emulando un teclado y un mouse USB.
Investigadores modificaron el firmware de una unidad flash USB y la usaron para emular un adaptador de red ethernet USB, lo que permite secuestrar el tráfico local.
Una pequeña modificación del firmware de un flash drive USB permite que los atacantes burlen los dispositivos USB protegidos por contraseña.
Los investigadores ya demostraron cómo una unidad flash USB podría ser reprogramada para actuar como un drive normal, pero creando una partición oculta que no puede ser formateada. Esto permite la exfiltración de datos.
Existen casos en que puntos de carga (esos donde conecta su Smartphone en uno de los diversos cables USB), que fueron alterados maliciosamente, infectan smartphones o recogen informaciones confidenciales de los dispositivos.
Estamos ante un déjà vu, ya que los primeros virus creados se diseminaban a través de antiguos disquetes (3 ¼”, 5 ¼”, etc.). Pero, en referencia a los dispositivos USB, los investigadores utilizaron un flash drive USB para infectar una computadora antes del booteo (iniciarse).
Un ataque ejecutado por el malware Fanny, desarrollado por los hackers del Equation Group, utilizaba un almacenamiento USB oculto para almacenar comandos predefinidos que realizaban el mapeo de las computadoras Air-Gapped. Las informaciones recogidas se volvían a guardar en el almacenamiento oculto.
Daña de manera permanente las computadoras al insertar un dispositivo USB que inicia una sobrecarga eléctrica.
Para saber más: