Hardware : Panoramica Sugli Attacchi BadUSB e USB Kill, e Come Usare Queste Armi Per Difendersi Piuttosto Che Per Attacchi Esclusivi

Last updated on December 24th, 2022 at 01:07 pm

_χρόνος διαβασματός : [ 4 ] minutes

 

Quid quid id est timeo danaos et dona ferentes…

Authored by Catalin Cimpanu Via The Record

Certo usare una periferica flash usb proveniente da terze parti poco note, o totalmente ignote, nel proprio computer aziendale o personale è un’azione compiuta da persone poco scaltre, poco avvezze all’uso dei computer, sciocchi etichettati come troiani, o figli di una Troia rasa al suolo.

theRecord:

FBI: gli hacker di FIN7 prendono di mira le aziende statunitensi con dispositivi BadUSB per installare ransomware

Il Federal Bureau of Investigation degli Stati Uniti afferma che FIN7, un famigerato gruppo di criminalità informatica dietro le operazioni di ransomware Darkside e BlackMatter, ha inviato dispositivi USB dannosi ad aziende statunitensi negli ultimi mesi nella speranza di infettare i loro sistemi con malware e portare avanti il ​​futuro attacchi.

“Dall’agosto 2021, l’FBI ha ricevuto segnalazioni di diversi pacchi contenenti questi dispositivi USB, inviati alle aziende statunitensi nei settori dei trasporti, delle assicurazioni e della difesa“, ha affermato l’Ufficio in un avviso di sicurezza inviato ieri alle organizzazioni statunitensi.

I pacchi sono stati inviati utilizzando il servizio postale degli Stati Uniti e United Parcel Service“, ha aggiunto l’agenzia.

“Esistono due varianti di pacchetti: quelli che imitano l’HHS [Dipartimento della salute e dei servizi umani degli Stati Uniti] sono spesso accompagnati da lettere che fanno riferimento alle linee guida COVID-19 allegate a una chiavetta USB; e quelli che imitano Amazon sono arrivati ​​in una confezione regalo decorativa contenente una lettera di ringraziamento fraudolenta, una carta regalo contraffatta e una chiavetta USB.

In entrambi i casi, i pacchetti contenevano dispositivi USB a marchio LilyGO.

Alcuni attacchi BadUSB portano al ransomware

Ma l’FBI afferma che se i destinatari collegassero le chiavette USB ai loro computer, i dispositivi eseguirebbero un attacco BadUSB, in cui l’unità USB si registrerebbe invece come tastiera per inviare una serie di sequenze di tasti automatizzate preconfigurate al PC dell’utente.

Queste sequenze di tasti eseguono i comandi di PowerShell che scaricano e installano vari ceppi di malware che fungono da backdoor per gli aggressori nelle reti delle vittime.

Nei casi indagati dall’FBI, l’agenzia ha affermato di aver visto il gruppo ottenere l’accesso amministrativo per poi spostarsi lateralmente ad altri sistemi locali.

“[Gli] attori di FIN7 hanno quindi utilizzato una varietà di strumenti, inclusi Metasploit, Cobalt Strike, script PowerShell, Carbanak, GRIFFON, DICELOADER, TIRION, e hanno distribuito ransomware, inclusi BlackMatter e REvil, sulla rete compromessa”, ha aggiunto l’agenzia.

Nel caso più recente di questi attacchi, il gruppo ha anche preso di mira una società del settore della difesa statunitense di recente, nel novembre 2021, utilizzando il trucco della lettera di ringraziamento di Amazon in realtà covando le procedure software fraudolente descritte sopra.

Questo segna il secondo avviso che l’FBI ha inviato sull’invio di dispositivi USB dannosi da parte di FIN7 alle società statunitensi.

L’FBI ha inviato il primo nel marzo 2020, dopo che la società di sicurezza Trustwave ha trovato uno dei dispositivi BadUSB dannosi inviati a uno dei suoi clienti, un fornitore di servizi di ospitalità statunitense.

Le immagini della lettera di ringraziamento di Amazon, dell’avviso HHS COVID-19 e del dispositivo BadUSB a marchio LilyGO sono incluse nell’avviso dell’FBI, che non possiamo riprodurre qui. Le aziende statunitensi possono registrarsi sul portale InfraGard per accedere all’avviso e saperne di più sugli ultimi attacchi BadUSB di FIN7.

Avendo la certezza di avere tra le mani un dispositivo con BadUSB pronto all’uso si potrebbe connetterlo ad un Computer zeppo di false informazioni, un labirinto di informazioni abile a spingere nella catarsi il suo remoto osservatore e farlo schiantare contro gli scogli come una nave in balia delle onde colta da una tempesta improvvisa.

Come? Basta usare il guillver.

Comunque…LilyGo

mi ricorda il dispositivo USB della morte, o chiamato comunemente USB Kill

Un’unità flash di questo tipo appena connessa ad un computer è in grado di distruggerlo in pochi secondi scaricando -220 V attraverso la porta USB.

Il perfetto regalo per i vostri sprovveduti nemici del cuore. Ma non solo, è anche il perfetto regalo per il tuo dissidente del cuore.

Le c.d. USB Kill sono in vendita un pò ovunque ed anche ad un prezzo basso.

L’USB Kill raccoglie energia dalle linee di alimentazione USB (5 V, 1 – 3 A) fino a raggiungere un massimo di -240 V, dopodiché scarica la tensione memorizzata nelle linee dati USB. Questo nell’arco di uno o due secondi.

Sebbene le moderne schede madri dispongono di una protezione base da sovracorrente, spesso azionando lo spegnimento immediato della macchina, questa protezione generalmente protegge dalla tensione positiva, quella negativa è in riferimento alla c.d. tensione da messa a terra.

Esiste quindi un’antagonista alla USB Kill, definito USB Kill Tester Shield: questa periferica impedirà il funzionamento del dispositivo USB Kill e proteggerà i dati dell’utente da determinati tipi di intrusione se si collega piuttosto che una periferica flash USB Kill una USB di ricarico energetico con Autorun di determinati programmi malevoli pre-inseriti nella medesima periferica, intrusione nota come Juice Jacking. Disattivare l’Autorun delle periferiche che fungono da supporto per la memorizzazione dei dati potrebbe proteggere dal juice jacking.

Tenere a disposizione vecchi obsoleti computer per testare dispositivi flash usb può anche essere un buon metodo per placare la curiosità innata dell’umano.

In ultimo ma non meno importante tutti i dissidenti dovrebbero averne almeno una in dotazione.

Quando le moderne Gestapo vengono ad esercitare il loro monopolio di forza sui vostri dati avendo questo gingillo a disposizione i miliziani potranno solo esercitare il fango che attanaglia le loro menti ottuse da servi della gleba.

Qui per conoscere qualcosa in più su questo gioiellino da canis ex machina:

USBKill si è evoluta, così come i modi per usarla. V4 Introduce le modalità di attacco a impulso singolo e impulso continuo. Per impostazione predefinita, il V4 non si attiverà fino a quando non verrà attivato, dando ai pentester e alla LEA la massima discrezione. Il V4 può essere attivato in diversi modi:

Remote Trigger: attiva un attacco singolo o continuo tramite telecomando dedicato, fino a 100 m di distanza dal dispositivo.

Smartphone Trigger: controlla e attiva attacchi singoli o continui tramite l’app per smartphone Android inclusa.

Attacco a tempo: pianifica una data e un’ora in cui si attiverà USBKill. Il V4 può rimanere inattivo senza alimentazione per oltre 200 giorni.

Trigger magnetico: attiva USBKill con un magnete (incluso un anello magnetico elegante e nascosto) passando la mano sul dispositivo.

Modalità classica: si attiva nell’istante in cui viene collegata a un’unità USB.