Mysz została wyposażona w odpowiednio spreparowany firmware, jego automatycznie uruchomienie po podłączeniu jej do komputera użytkownika (który ową mysz otrzymał w prezencie). Kod ataku następnie powiadamiał o skutecznym przeniknięciu do sieci ofiary.

Wielu czytelników nie było dotychczas świadomych tego, że sprzęt, a zwłaszcza mysz komputerowa, może zostać wykorzystana do przenoszenia automatycznie uruchamianego kodu exploita. Nie dla wszystkich jednak jest to niespodzianką.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem
• Z jakimi zagrożeniami borykał się Android w 2023 roku?

"Mysz trojańska"

Desautels Adriel, założyciel firmy NetraGard opisuje na swoim blogu, jak przez podłączenie myszy USB zawierającej malware i wykorzystanie użytkownika końcowego (blabbing), firmie udało się zainfekować sieć swego klienta.

NetraGard został zatrudniony do testowania bezpieczeństwa sieci klienta, lecz firmie narzucono też rygorystyczne ograniczenia. Zespół NetraGard mógł wziąć na cel tylko jeden adres IP. Zabronione było wydobywanie od pracowników informacji przez telefon lub e-mail za pomocą technik socjotechnicznych, jak również fizyczny wstęp do siedziby klienta.

Sposób wybrany przez zespół NetraGard polegał na zamienieniu myszy Logitech USB w tzw. HID (Hacker Interface Device), oraz zainstalowaniu na niej minikontrolera i dysku mikro USB Flash zawierającego złośliwe oprogramowanie.

Tuż po podłączeniu do portu USB, zamieszczony w myszy ładunek uruchamiał się, rozpoczynając rozsiewanie złośliwego oprogramowania w sieci klienta. Testowy malware nie powodował żadnych rzeczywistych szkód, po prostu rozprzestrzeniał się jak wirus, pozwalając na sledzenie przebiegu infekcji.

Ostatnim krokiem podjętym przez zespół NetraGard było zdobycie listy pracowników klienta oraz wytypowanie osoby, do której miała zostać wysłana mysz. Została ona odpowiednio przepakowana, tak aby wyglądała jak oryginalny gadżet promocyjny. Po trzech dniach od wysłania przesyłki, oprogramowanie z urządzenia powiadomiło, że włamanie zakończyło się sukcesem.

Ta przypowieść o wprowadzeniu "myszy trojańskiej" do sieci może posłużyć jako przestroga i memento, jak podatne na zagrożenia są obecnie sieci, nawet te z pozoru dobrze zabezpieczone w renomowanych firmach. Warto zauważyć, że użytkownicy końcowi ponownie znaleźli się wśród najsłabszych ogniw, które umożliwiły przeprowadzenie skutecznego ataku. Zespół NetraGard był w stanie odpowiednio dostosować swoje złośliwe oprogramowanie, żeby obejść klienta oprogramowania antywirusowego, dzięki temu, że pracownicy publicznie plotkowali na Facebooku o tym, że w ich firmie używa się narzędzi McAfee.

Użytkownik końcowy był odpowiedzialny za podłączenie podesłanej pocztą myszy - nośnika malware. Została ona dobrze zamaskowana jako promocyjny gadżet. Działanie to nieco przypomina dzisiejsze metody hakerskie wysyłania phishingowych e-maili i scareware, projektowanych tak, żeby wyglądały jakby pochodziły z legalnych źródeł.

Opisany scenariusz powinien skłonić administratorów IT do opracowania lub zrewidowania własnych polityk ochrony i mechanizmów kontroli, edukacji użytkowników końcowych - wszystko po to, aby zmniejszyć ryzyko tego rodzaju naruszeń bezpieczeństwa.