Koń trojański w komputerowej myszce

Nawet coś tak pozornie niewinnego jak mysz USB może być nośnikiem malware. Niedawno znaczną część blogosfery poświęconej bezpieczeństwu komputerów w wypełniły doniesienia i dyskusja o nietypowym włamaniu - za pomocą specjalnie zmodyfikowanej myszy USB firmy Logitech, którego dokonała firma NetraGard testując sieć swojego klienta.

Mysz została wyposażona w odpowiednio spreparowany firmware, jego automatycznie uruchomienie po podłączeniu jej do komputera użytkownika (który ową mysz otrzymał w prezencie). Kod ataku następnie powiadamiał o skutecznym przeniknięciu do sieci ofiary.

Wielu czytelników nie było dotychczas świadomych tego, że sprzęt, a zwłaszcza mysz komputerowa, może zostać wykorzystana do przenoszenia automatycznie uruchamianego kodu exploita. Nie dla wszystkich jednak jest to niespodzianką.

Zobacz również:

  • W sklepie Google Play nie brakuje wirusów - zwłaszcza w przypadku aplikacji finansowych
  • NASK: już blisko 57 tys. ostrzeżeń przed niebezpiecznymi stronami

"Mysz trojańska"

Desautels Adriel, założyciel firmy NetraGard opisuje na swoim blogu, jak przez podłączenie myszy USB zawierającej malware i wykorzystanie użytkownika końcowego (blabbing), firmie udało się zainfekować sieć swego klienta.

NetraGard został zatrudniony do testowania bezpieczeństwa sieci klienta, lecz firmie narzucono też rygorystyczne ograniczenia. Zespół NetraGard mógł wziąć na cel tylko jeden adres IP. Zabronione było wydobywanie od pracowników informacji przez telefon lub e-mail za pomocą technik socjotechnicznych, jak również fizyczny wstęp do siedziby klienta.

Sposób wybrany przez zespół NetraGard polegał na zamienieniu myszy Logitech USB w tzw. HID (Hacker Interface Device), oraz zainstalowaniu na niej minikontrolera i dysku mikro USB Flash zawierającego złośliwe oprogramowanie.

Tuż po podłączeniu do portu USB, zamieszczony w myszy ładunek uruchamiał się, rozpoczynając rozsiewanie złośliwego oprogramowania w sieci klienta. Testowy malware nie powodował żadnych rzeczywistych szkód, po prostu rozprzestrzeniał się jak wirus, pozwalając na sledzenie przebiegu infekcji.

Ostatnim krokiem podjętym przez zespół NetraGard było zdobycie listy pracowników klienta oraz wytypowanie osoby, do której miała zostać wysłana mysz. Została ona odpowiednio przepakowana, tak aby wyglądała jak oryginalny gadżet promocyjny. Po trzech dniach od wysłania przesyłki, oprogramowanie z urządzenia powiadomiło, że włamanie zakończyło się sukcesem.

Ta przypowieść o wprowadzeniu "myszy trojańskiej" do sieci może posłużyć jako przestroga i memento, jak podatne na zagrożenia są obecnie sieci, nawet te z pozoru dobrze zabezpieczone w renomowanych firmach. Warto zauważyć, że użytkownicy końcowi ponownie znaleźli się wśród najsłabszych ogniw, które umożliwiły przeprowadzenie skutecznego ataku. Zespół NetraGard był w stanie odpowiednio dostosować swoje złośliwe oprogramowanie, żeby obejść klienta oprogramowania antywirusowego, dzięki temu, że pracownicy publicznie plotkowali na Facebooku o tym, że w ich firmie używa się narzędzi McAfee.

Użytkownik końcowy był odpowiedzialny za podłączenie podesłanej pocztą myszy - nośnika malware. Została ona dobrze zamaskowana jako promocyjny gadżet. Działanie to nieco przypomina dzisiejsze metody hakerskie wysyłania phishingowych e-maili i scareware, projektowanych tak, żeby wyglądały jakby pochodziły z legalnych źródeł.

Opisany scenariusz powinien skłonić administratorów IT do opracowania lub zrewidowania własnych polityk ochrony i mechanizmów kontroli, edukacji użytkowników końcowych - wszystko po to, aby zmniejszyć ryzyko tego rodzaju naruszeń bezpieczeństwa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200