To, że wirusy infekują pendrive'y czy inne napędy USB nie jest dla nikogo zaskoczeniem. Karsten Nohl i Jakob Lell, specjaliści od bezpieczeństwa z Niemiec, dowiedli, że używanie USB może być znacznie bardziej groźne, niż do tej pory sądziliśmy. Cyberprzestępcy nauczyli się zupełnie nowego, praktycznie niewykrywalnego sposobu na atak.
Jak donosi BBC Niemcy podczas tegorocznej konferencji Black Hat dowiedli, że nawet kompletnie puste napędy, niezawierające żadnych plików, które można by przebadać, też mogą infekować.
W jednej z przykładowej prezentacji zupełnie pusty pendrive został rozpoznany przez komputer jako klawiatura. I ta wirtualnie podpięta klawiatura zaczęła "pisać" polecenia, sama pobierać złośliwy kod.
Niemieccy badacze podłączyli też smartfon w celu jego podładowania. Komputer widział jednak urządzenie jako kartę sieciową. W ten sposób udało się przekierować ruch do fałszywych stron i skraść login i hasło - na przykład do PayPala.
USB groźniejsze niż myślisz BBC
BBC
Według niemieckich ekspertów taka słabość USB będzie coraz częściej wykorzystywana. Nazwali ją w swojej pracy BADUSB.
Przyzwyczailiśmy się po prostu, że główne zagrożenie dla naszych komputerów ma źródło w internecie, zapominając jednocześnie, że cyberprzestępcy doskonalą stare metody. Skoro nawet pusty napęd USB może doprowadzić do infekcji maszyny trzeba na nowo przemyśleć swoje nawyki związane z użytkowaniem komputera.
Należy pamiętać o tym, że Niemcy w swoich badaniach omawiają nowy rodzaj ataku , niemający nic wspólnego ze standardowym. Standardowo infekcja odbywa się przez plik zapisany na nośniku lub boot sector. W przypadku nowego rodzaju infekcji za atak odpowiada chip wbudowany w urządzenie, kontroler. Obecne systemy antywirusowe nie są w stanie wykryć tak przeprowadzonego ataku.
Nohl i Lell w swojej analizie piszą:
"Nie ma znanych sposobów obrony przed takim rodzajem ataku. Skanery mallware nie mają dostępu do oprogramowania sterującego urządzeniami USB. Firewall USB, który blokowałby określone klasy urządzeń, jeszcze nie istnieje. Wykrycie ataku na podstawie analizy zachowania jest trudne. Dla wszelkich narzędzi służących do obrony atak wygląda po prostu jak wpięcie kolejnego urządzenia do portu USB. Co gorsza usunięcie skutków infekcji jest trudne. Reinstalacja zarażonego systemu nie usunie źródła infekcji. Dla przykładu wirus z napędu USB będzie mógł przenieść się na inne urządzenia takie jak choćby kamera internetowa. Wirtualne urządzenia wykorzystujące BadUSB mogą nawet zagnieździć się w BIOSie i stamtąd emulować klawiaturę i wykonywać polecenia. Urządzeniom, które raz dotknęła infekcja BadUSB już nigdy nie można zaufać."
