Muchas personas piensan que la ciberdelincuencia tiene éxito en sus ataques cuando utilizan medios remotos. En parte, eso es verdad, por eso la mayoría de las noticias publicadas por los medios de comunicación tradicionales los que hablan sobre los ataques realizados por internet, redes sin cable, redes locales, etc.

Sin embargo, los criminales cibernéticos con experiencia, que poseen un objetivo potente o que tienen un blanco específico, pueden utilizar técnicas que escapan de lo convencional. Un gran ejemplo de esto es cuando el delincuente tiene la necesidad de ir personalmente hasta la empresa para dar el “puntapié inicial” en su campaña de ataque.

Los dispositivos USB, pen drives o USB Flash Drives (como prefiera llamarlos), pueden ser grandes aliados del atacante. La variedad va desde un simple pen drive conectado a la computadora de la víctima hasta un extensor entre el teclado y la computadora que graba todo lo que la víctima digite.

El Rubber Duck, por ejemplo, es un dispositivo USB malicioso que realiza ataques de inyección de comandos predefinidos. Estos comandos pueden permitir el acceso remoto a la computadora de la víctima y otras acciones. Además de ese, existen muchos otros dispositivos USB con fines maliciosos. Veremos otros más adelante.

Para poder entender este tipo de ataques que involucran estos dispositivos, es necesario entender la estructura de funcionamiento de los dispositivos USB en general.

Cómo es la estructura de un dispositivo USB

Un pen drive está compuesto básicamente por un procesador, un bootloader, la RAM, el firmware, un controlador USB, LEDs y el área de almacenamiento masivo dentro del dispositivo.

Analicemos los principales componentes:

Bootloader

Se utiliza para cargar y almacenar el firmware (software fijo del dispositivo) en la RAM durante la ejecución.

Controlador USB

Se utiliza para gestionar las consultas de lectura y grabación de datos realizadas en la unidad de almacenamiento masivo.

Almacenamiento masivo

Los dispositivos USB poseen un tipo de almacenamiento masivo (MSC, Mass Storage Class), con el objetivo de permitir el acceso al almacenamiento interno. Otro tipo, llamado Attached SCSI, llegó para resolver los problemas de desempeño de su antecesor, y permite la rueda de identificación de comandos y conclusiones incompletas de los dispositivos USB de almacenamiento masivo.

Ahora que ya conoce un poco más sobre cómo funcionan los dispositivos USB, llegó el momento de ver cómo estos dispositivos pueden reprogramarse para fines maliciosos.

El peligro de la reprogramación de dispositivos USB

Los Descriptores de dispositivos USB (USB Device Descriptors) cuentan con información sobre la identificación del producto y del proveedor. Esta identificación está representada por un código de 16 dígitos. Las informaciones se utilizan para definir los tipos de dispositivos USB, como teclado y mouse, y pueden ser reprogramadas por medio de un firmware.

Allí radica el problema de seguridad, ya que el firmware podrá reprogramarse para que sea identificado por el sistema operativo como si fuera otro dispositivo (como un teclado, por ejemplo). La reprogramación del firmware en muchos dispositivos USB es posible debido a la falta de protección contra la grabación.

El sistema operativo confiará ciegamente en el dispositivo falsificado luego de que sea conectado a la computadora y haya instalado el driver. De esta manera es como puede ejecutar las acciones maliciosas.

Rubber Duck y los principales ataques realizados por dispositivos maliciosos

Rubber Duck

Rubber Duck es una solución comercial de ataque por inyección de comandos/presión de teclas lanzada en 2010. Cuando se encuentra conectado a la computadora de la víctima, el Rubber Duck se “hará pasar” por un teclado que inyectará una secuencia de presión de teclas predefinida. A partir de ese momento, la forma de ataque principal es a través del acceso remoto a la computadora para capturar datos, entre otras cosas.

Plataforma de ataque PHUKD / URFUKED

Es similar al Rubber Duck, pero permite que el invasor escoja el horario en que las teclas maliciosas serán presionadas.

USBdriveby

Permite instalar rápidamente y de forma secreta backdoors y altera, en cuestión de segundos, las configuraciones de DNS en una computadora con el OS X desbloqueado, emulando un teclado y un mouse USB.

Alterar el DNS por medio del firmware modificado

Investigadores modificaron el firmware de una unidad flash USB y la usaron para emular un adaptador de red ethernet USB, lo que permite secuestrar el tráfico local.

Patch para burlar la protección mediante contraseña

Una pequeña modificación del firmware de un flash drive USB permite que los atacantes burlen los dispositivos USB protegidos por contraseña.

Patch de partición oculta

Los investigadores ya demostraron cómo una unidad flash USB podría ser reprogramada para actuar como un drive normal, pero creando una partición oculta que no puede ser formateada. Esto permite la exfiltración de datos.

Infección de smartphones en puntos de carga de energía

Existen casos en que puntos de carga (esos donde conecta su Smartphone en uno de los diversos cables USB), que fueron alterados maliciosamente, infectan smartphones o recogen informaciones confidenciales de los dispositivos.

Virus del sector de boot

Estamos ante un déjà vu, ya que los primeros virus creados se diseminaban a través de antiguos disquetes (3 ¼”, 5 ¼”, etc.). Pero, en referencia a los dispositivos USB, los investigadores utilizaron un flash drive USB para infectar una computadora antes del booteo (iniciarse).

Backdoor USB en computadoras Air-Gapped (aisladas de toda red)

Un ataque ejecutado por el malware Fanny, desarrollado por los hackers del Equation Group, utilizaba un almacenamiento USB oculto para almacenar comandos predefinidos que realizaban el mapeo de las computadoras Air-Gapped. Las informaciones recogidas se volvían a guardar en el almacenamiento oculto.

USB Killer

Daña de manera permanente las computadoras al insertar un dispositivo USB que inicia una sobrecarga eléctrica.

Cómo protegerse de los ataques por USB

• Garantice la seguridad física de las computadoras desktop o servidores para que el personal no autorizado no pueda conectar dispositivos USB aleatorios en las computadoras. Asimismo, bloquee físicamente los puertos USB no utilizados en esos sistemas y evite la remoción de los HID (dispositivo USB para identidad segura) que estén conectados.
• No conecte pen drives desconocidos en las computadoras críticas de una organización. Esta es una táctica de ingeniería social en la que el invasor depende de la curiosidad de las personas para tener éxito.
• Capacite a los funcionarios para que sean conscientes de los diferentes tipos de amenazas, incluyendo la de los dispositivos USB maliciosos (como en el Incidente La La Land).
• No utilice el mismo pen drive para computadoras domésticas y las de la empresa. Al hacerlo, puede reducir el riesgo de contaminación cruzada de las computadoras.
• Utilice unidades USB con claves de protección contra grabación de hardware.
• Limite la cantidad de datos corporativos que se puedan almacenar en sus unidades USB.
• Utilice herramientas corporativas que se encarguen de autorizar o denegar la utilización de determinados puertos USB.
• Mantenga sus computadoras y smartphones/iPhones siempre actualizados.

Para saber más:

• Security Research Labs: On Accessories That Turn Evil
• Threat Vector: USB Devices Gone Rogue
• Bleeping Computer: Here’s a List of 29 Different Types of USB Attacks
• Cyware: Understanding the threats and risk of USB Flash Drive