I dispositivi USB sono in circolazione da più di un quarto di secolo e restano una di quelle rare tecnologie di successo relativamente identici, nonostante la “Legge di Moore” e la rivoluzione tecnologica in corso. L’incredibile successo dell’USB è dovuto alla sua flessibilità e comodità, come interfaccia dati e periferica di archiviazione portatile. C’è però un aspetto potenzialmente critico, ed è quello della sicurezza. Questa tecnologia manca dei controlli mirati che i professionisti della security vorrebbero avere da una porta di comunicazione moderna. Molti responsabili della sicurezza ritengono che la minaccia potenziale rappresentata dai dispositivi USB sia gestibile con la tecnologia di Data Leak Prevention (DLP) per identificare e bloccare la trasmissione di dati sensibili – ma purtroppo, non tutti gli attacchi via USB riguardano semplicemente la perdita di informazioni.
La maggior parte degli attacchi informatici comincia via email, ma l’attività recente mostra che i criminali colgono opportunità per eventuali attacchi di successo via USB. Un attacco recente, presumibilmente di FIN7, gruppo hacker russo, ha visto ’invio di scatole regalo con nastro dorato che contenevano (falsi) buoni Amazon da 500 dollari e una chiavetta USB, a dimostrazione del loro investimento di tempo e creatività nelle modalità di azione. Questo recente cambiamento nelle tattiche ha suscitato il coinvolgimento dell’FBI, con il timore che questo schema sia un nuovo percorso di diffusione per il ransomware.
Anche il report “State of the Phish 2022” di Proofpoint conferma questo incremento. Più della metà (54%) delle organizzazioni globali ha riportato attacchi via USB nel 2021, con un aumento di oltre il 15% rispetto al 2020.
Gli attacchi via USB sono attacchi sofisticati che vanno ben oltre il far cadere una chiavetta USB nell’area della reception di un’azienda o lanciarne una oltre una recinzione in un parcheggio custodito. Entrambe queste modalità possono comunque essere molto efficaci con un’etichetta allettante sulla chiavetta. “Piano annuale di bonus” stuzzicherà la curiosità della vittima, mentre “Foto del matrimonio di Janice” susciterà la buona volontà nel restituire i dati al suo ‘proprietario’.
Controlli
La maggior parte dei responsabili della sicurezza non ritiene il semplice blocco delle porte USB un’opzione accettabile. Molti componenti informatici utilizzano l’USB per collegare mouse, tastiera o la webcam, e il personale vi fa affidamento per ricaricare i propri dispositivi personali. I CISO tendono a considerare la minaccia degli attacchi via USB soprattutto come rischio di perdita di dati e si sentono tranquilli quando hanno un piano DLP in atto. È noto che non tutte queste policy sono create allo stesso modo, e può essere un onere pesante mantenerne una adeguata, e quindi è preoccupante comprendere che non sia l’unico percorso di attacco.
Modelli di attacco
Storicamente, gli attacchi portati via USB rappresentavano solo un mezzo di trasporto alternativo di file dannosi, magari contenenti documenti MS Office con macro pericolose, o file eseguibili presentati in modo allettante. La loro capacità di bypassare diversi livelli dell’infrastruttura di controllo e consegnare il malware direttamente sull’endpoint era un enorme vantaggio per l’attaccante. Il potenziale di questo tipo di attacco era leggermente stemperato dal fatto che gli attacchi via USB hanno una latenza maggiore rispetto a quelli via email, quindi la protezione dell’endpoint poteva essere aggiornata e potenzialmente in grado bloccare l’attacco prima ancora del suo lancio.
Più recentemente, le azioni si sono spostate sullo spoofing HID (Human Interface Device), in cui l’USB finge di essere una tastiera. Quando viene inserita, la chiavetta si registra come una tastiera/mouse e trasmette i comandi, automatizzando un attacco come se l’hacker fosse seduto alla scrivania. È questa tecnica ‘BadUSB’ che FIN7 ha usato per avviare le prime fasi del suo recente attacco ransomware.
L’avvento di un attacco chiamato ‘USBKill’ è stato ancora più distruttivo, anche se decisamente più localizzato. Ha trasformato la chiavetta USB in un iniettore di tensione, in grado di creare uno sbalzo che avrebbe bruciato la scheda madre e reso i dati sul PC irrecuperabili. Se in un ambiente di ufficio questo potrebbe essere semplicemente fastidioso in azienda, in un ambiente OT il potenziale di causare danni significativi non può essere sottovalutato.
Soluzioni
Esaminare i potenziali danni portati dagli attacchi via USB è un passo consigliabile, ma è importante cercare una soluzione pratica.
Un importante progetto britannico ha preso sul serio la sicurezza HID, richiedendo che tutte le tastiere e i mouse fossero limitati a un modello specifico, inserito in whitelist. Se questo può funzionare in un ambito specifico e per un progetto limitato nel tempo, sarebbe quasi impossibile in un ambiente aziendale esteso in continuo cambiamento.
Altre aziende cercano di mettere in whitelist il software per controllare ciò che può eseguire. Anche in questo caso, è un controllo lodevole, ma manca del pragmatismo essenziale quando si gestisce la sicurezza di un’organizzazione globale in rapida evoluzione.
La prevenzione della perdita di dati è essenziale, ma la sua efficacia deve essere fondata su solidi controlli tecnici e applicata automaticamente in un ambiente di dati ben mantenuto e gestito da personale formato sulla sicurezza delle informazioni.
Tutto questo ci riporta all’utente. La flessibilità dell’USB ha fatto sì che mantenesse nel tempo la sua posizione nello stack tecnologico, con la i conseguenza che gli aggressori cercheranno modi per ingegnerizzare il loro malware, fisicamente e socialmente, per approfittare di questa accessibilità universale. Come tanti altri potenziali vettori di minaccia, anche la chiavetta USB ha bisogno di una persona che la inserisca nel sistema. Una forza lavoro ben istruita – consapevole delle proprie responsabilità, che conosce le minacce ed è informata sulle ultime difese – fornirà la migliore protezione.
di Andrew Rose, Resident CISO EMEA di Proofpoint
