{"id":11692,"date":"2019-04-24T17:40:21","date_gmt":"2019-04-24T20:40:21","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11692"},"modified":"2019-11-22T07:05:48","modified_gmt":"2019-11-22T10:05:48","slug":"weaponized-usb-devices","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/weaponized-usb-devices\/11692\/","title":{"rendered":"Dispositivos USB usados como vetor de ataque"},"content":{"rendered":"

Dispositivos USB s\u00e3o a principal fonte de malware para sistemas de controle industrial, disse Luca Bongiorni da Bentley Systems durante sua palestra na #TheSAS2019. A maioria das pessoas envolvidas de alguma maneira com seguran\u00e7a j\u00e1 ouviram os contos cl\u00e1ssicos sobre pendrives que ca\u00edram \u201cacidentalmente\u201d em estacionamentos<\/a> \u2013 uma hist\u00f3ria comum sobre seguran\u00e7a que \u00e9 ilustrativa demais para n\u00e3o ser recontada diversas vezes.
\nOutra hist\u00f3ria \u2013 real \u2013 sobre pendrives USB envolvia um funcion\u00e1rio de uma unidade industrial que queria assistir La La Land<\/em> e decidiu baixar o filme em um pendrive durante o almo\u00e7o. Assim come\u00e7a a narrativa sobre como um sistema isolado de uma usina nuclear foi infectado \u2013 \u00e9 um relato muito familiar sobre uma infec\u00e7\u00e3o de infraestrutura cr\u00edtica extremamente evit\u00e1vel<\/a>.<\/p>\n

No entanto, as pessoas tendem a esquecer que dispositivos USB n\u00e3o est\u00e3o limitados a pendrives. Dispositivos de interface humana (Human Interface Devices \u2013 HIDs) como teclados e mouses, cabos para carregar smartphones, e at\u00e9 mesmo objetos como globos de plasma e canecas t\u00e9rmicas, podem ser manipulados com a finalidade de atingir sistemas de controle industrial.<\/p>\n

Uma pequena hist\u00f3ria sobre armas USB<\/strong><\/h3>\n

Apesar do esquecimento das pessoas, os dispositivos USB manipulados n\u00e3o s\u00e3o uma novidade. Os primeiros dispositivos desse tipo foram criados em 2010. Com base em uma pequena placa program\u00e1vel chamada Teensy e equipados com um conector USB, tornaram-se capazes de agir como HDIs, por exemplo, pressionando teclas em um PC. Os hackers rapidamente perceberam que dispositivos podiam ser usados para testes de penetra\u00e7\u00e3o e inventaram uma vers\u00e3o programada para criar novos usu\u00e1rios, executar programas para criar backdoors e injetar malware \u2013 copiando ou baixando o v\u00edrus de um site espec\u00edfico.<\/p>\n

A primeira vers\u00e3o modificada da Teensy foi chamada de PHUKD<\/a>. Kautilya<\/a>, que era compat\u00edvel com as placas Arduino, mais populares, veio em seguida. E ent\u00e3o Rubberducky \u2013 talvez a ferramenta USB de emula\u00e7\u00e3o de teclas mais conhecida, gra\u00e7as ao Mr. Robot, <\/em>que imitava exatamente a movimenta\u00e7\u00e3o m\u00e9dia do dedo polegar. Um dispositivo mais poderoso chamado Bunny foi usado em ataques contra caixas eletr\u00f4nicos<\/a>.<\/p>\n

O inventor do PHUKD rapidamente teve uma ideia e criou um mouse \u201ctrojanizado\u201d com uma placa integrada de testes de penetra\u00e7\u00e3o para que, al\u00e9m de funcionar como um mouse normal, pudesse fazer tudo que o PHUKD \u00e9 capaz de fazer. De uma perspectiva de engenharia social, usar HIDs verdadeiros para penetrar sistemas pode ser ainda mais f\u00e1cil do que usar pendrives USB com o mesmo prop\u00f3sito, j\u00e1 que at\u00e9 mesmo as pessoas com conhecimento suficiente para saber que n\u00e3o se deve inserir um dispositivo desconhecido em seu computador geralmente n\u00e3o se preocupam com teclados ou mouses.<\/p>\n

A segunda gera\u00e7\u00e3o de dispositivos USB manipulados foi criada durante os anos de 2014 e 2015 e inclu\u00eda os famigerados dispositivos BadUSB<\/a>. O TURNIPSCHOOL e o Cottonmouth, supostamente desenvolvidos pela Ag\u00eancia de Seguran\u00e7a Nacional dos Estados Unidos (NSA), tamb\u00e9m merecem ser mencionados: eram dispositivos t\u00e3o pequenos que podiam ser colocados dentro de um cabo USB e usados para extrair dados de computadores (incluindo computadores desconectados de qualquer rede). Apenas um simples cabo \u2013 nada que preocupe algu\u00e9m, certo?<\/p>\n

O estado moderno dos dispositivos USB manipulados<\/strong><\/h3>\n

A terceira gera\u00e7\u00e3o de ferramentas USB de testes de penetra\u00e7\u00e3o acaba por atingir um outro n\u00edvel. Uma dessas ferramentas \u00e9 o WHID Injector, basicamente um Rubberducky com uma conex\u00e3o WiFi. Dessa forma, n\u00e3o precisa ser programada inicialmente com tudo que deve fazer; um hacker pode controlar a ferramenta remotamente, o que oferece mais flexibilidade al\u00e9m da habilidade de trabalhar com diferentes sistemas operacionais. Outra inven\u00e7\u00e3o da nova gera\u00e7\u00e3o \u00e9 a P4wnP1, baseada no Raspberry Pi e que \u00e9 como o Bash Bunny com algumas funcionalidades adicionais, incluindo conectividade wireless.<\/p>\n

E, \u00e9 claro, tanto o WHID Injector quanto o Bash Bunny s\u00e3o suficientemente pequenos para serem inseridos em um teclado ou mouse. Esse v\u00eddeo mostra um laptop que n\u00e3o est\u00e1 conectado a nenhuma rede por USB, Ethernet ou WiFi, mas possui um teclado \u201ctrojanizado\u201d que permite que um criminoso execute comandos e programas remotamente.<\/p>\n

\n

pic.twitter.com\/C13mP8aBsL<\/a><\/p>\n

\u2014 Luca Bongiorni (@CyberAntani) February 14, 2018<\/a><\/p><\/blockquote>\n