Une récente série de cyberattaques basées sur USB a frappé des organisations aux États-Unis. Des périphériques USB malveillants sont envoyés à des victimes sélectionnées. Dès qu’ils sont branchés, le mal est fait.
Les menaces posées par les clés USB
Les clés USB sont pratiques, abordables et omniprésentes. Cette commodité se fait au détriment de la sécurité. Les clés USB sont portables, dissimulables et peuvent être utilisées pour exfiltrer des informations sensibles des ordinateurs et des réseaux d’entreprise. Pour cette raison, de nombreuses organisations interdisent les clés USB sur le lieu de travail et utilisent des outils logiciels pour désactiver l’accès USB. De telles mesures ne sont pas la norme. En règle générale, ils ne sont déployés que dans les grandes organisations. Ailleurs, les clés USB peuvent être utilisées gratuitement.
Le vol de données n’est qu’une des menaces. Les clés USB peuvent être égarées et perdues, exposant des informations privées et sensibles. Les clés USB sont généralement utilisées pour transporter des fichiers et les déplacer entre les ordinateurs. Si un lecteur est branché sur un ordinateur infecté par un logiciel malveillant, le lecteur USB est infecté. Il devient alors un mécanisme de transport pour le logiciel malveillant. Les clés USB sont susceptibles d’être branchées sur des ordinateurs domestiques mal protégés ainsi que sur des ordinateurs d’entreprise, ce qui augmente les risques d’infection.
En plus des infections accidentelles par des logiciels malveillants, les clés USB peuvent être amorcées avec des logiciels malveillants et laissées comme appâts. Le moyen le plus simple de le faire est de camoufler un programme malveillant afin qu’il ressemble à un fichier PDF ou à un document, et d’espérer que la victime essaie de l’ouvrir. D’autres sont beaucoup plus subtils.
En janvier 2022, le FBI a publié une déclaration concernant une nouvelle vague de cyberattaques basées sur des clés USB, baptisée BadUSB. Des clés USB ont été remises aux employés des organisations de transport, de défense et financières.
Les clés USB étaient accompagnées de lettres convaincantes. Certains prétendaient appartenir au département américain de la Santé et des Services sociaux et ont parlé des directives COVID-19. D’autres ont imité les coffrets cadeaux Amazon et ont même inclus une carte-cadeau falsifiée. Les clés USB ont été modifiées de sorte qu’elles attaquaient les ordinateurs de la cible dès qu’elles étaient branchées.
EN RELATION: Les nombreux visages de l’ingénierie sociale
L’appât et l’attente
Laisser des clés USB dans les parkings des employés et dans d’autres zones accessibles d’une entreprise est un moyen simple de mettre des clés USB malveillantes entre les mains des employés. De simples astuces d’ingénierie sociale augmentent la probabilité que quelqu’un le ramène sur son lieu de travail et l’insère dans son ordinateur.
Les clés USB sont plantées avant le déjeuner. Ainsi, les employés les trouvent à l’heure du déjeuner. Ils vont retourner à leur bureau pour l’après-midi. Si les clés USB tombent après le déjeuner, l’employé est susceptible de les retrouver à la fin de sa journée de travail et de les ramener à la maison.
Attacher un trousseau de clés à la clé USB change leur découverte de « J’ai trouvé une clé USB » à « J’ai trouvé les clés de quelqu’un ». Cela déclenche une autre série de réactions. Tout le monde peut comprendre les tracas de perdre un trousseau de clés. Dans une tentative d’essayer de faire la bonne chose et d’identifier le propriétaire, la personne qui les trouve est très susceptible de vérifier la clé USB pour des indices.
S’ils voient un document avec un titre irrésistible, comme « Plans sociaux » ou « Rachat par la direction », ils essaieront probablement de l’ouvrir. Si le document est vraiment un programme malveillant ou contient une charge utile malveillante, l’ordinateur, et donc le réseau, est infecté.
La formation de sensibilisation à la cybersécurité du personnel doit expliquer les dangers de brancher des clés USB non identifiées. Lorsque j’ai été engagé pour dispenser une formation de sensibilisation au personnel, j’ai fait un suivi quelques semaines plus tard avec des simulations d’attaques bénignes. Cela mesure la sensibilité du personnel. Il permet de répéter les modules de formation si une attaque particulière fait un nombre disproportionné de victimes, et il permet d’identifier et de recycler les individus peu performants.
Les baisses USB sont presque toujours réussies. Même lorsque les membres du personnel identifient correctement les e-mails de phishing et d’autres types d’attaques, quelqu’un tombe sous le charme de la clé USB. Il y a quelque chose dans la nature de la clé USB – peut-être parce qu’elle est complètement inerte à moins qu’elle ne soit branchée – qui rend certaines personnes incapables de résister à la brancher. Du moins, jusqu’à ce qu’elles soient prises pour la première fois.
L’approche « une fois mordu, deux fois timide » est OK dans le cadre d’une campagne de dépistage bénigne, mais avec une réelle menace ? Vous êtes déjà infecté.
EN RELATION: Quels sont les trois piliers de la cybersécurité ?
Marcher sur une mine terrestre
Des attaques plus sophistiquées utilisent des clés USB qui peuvent infecter l’ordinateur sans que l’utilisateur n’essaie d’exécuter un programme ou d’ouvrir un fichier. Des clés USB malveillantes ont été créées – et trouvées sur le terrain – qui exploitaient une vulnérabilité dans la façon dont Windows analysait les métadonnées dans les raccourcis Windows. Cela a été exploité pour qu’une fausse application du Panneau de configuration soit exécutée. La fausse application du Panneau de configuration était le logiciel malveillant.
Il suffisait à l’utilisateur d’insérer la clé USB et d’afficher la liste des fichiers sur l’appareil. Des raccourcis sur la clé USB ont provoqué le lancement d’une application malveillante du Panneau de configuration. L’application malveillante se trouvait également sur la clé USB.
Les périphériques BadUSB ont été modifiés de sorte que même moins l’interaction est nécessaire. Il suffit que la victime insère la clé USB.
Lorsqu’ils sont branchés, les périphériques USB dialoguent avec le système d’exploitation. L’appareil s’identifie en indiquant au système d’exploitation la marque, le modèle et le type d’appareil dont il s’agit. Selon le type de périphérique dont il s’agit, le système d’exploitation peut interroger le périphérique USB pour plus d’informations sur lui-même et ses capacités. Les périphériques BadUSB sont modifiés (le micrologiciel du fabricant est remplacé par un micrologiciel personnalisé par les acteurs de la menace) afin qu’ils s’identifient comme un clavier USB.
Dès que l’appareil est enregistré auprès de Windows en tant que clavier, il envoie un flux de caractères au système d’exploitation. Windows les accepte en tant qu’entrées saisies et agit en conséquence. Les commandes ouvrent une fenêtre PowerShell et téléchargent des logiciels malveillants. L’utilisateur n’a qu’à insérer la clé USB.
Les USB malveillants connus sous le nom de USB Killers sont déjà bien connus, mais ce sont des appareils rudimentaires qui endommagent l’ordinateur auquel ils sont branchés. La petite quantité d’énergie électrique envoyée aux périphériques USB est accumulée et amplifiée à l’intérieur du tueur USB et libérée sous forme de rafales rapides jusqu’à 200 V dans l’ordinateur via le port USB. Les dommages physiques que cela provoque rendent l’ordinateur inopérant. Les tueurs USB ne réalisent rien au-delà du vandalisme, aussi mauvais soit-il. Ils ne propagent pas de logiciels malveillants et n’infectent en aucun cas l’ordinateur ou le réseau.
En se faisant passer pour un clavier, les appareils BadUSB peuvent télécharger et installer tout type de malware, les récupérateurs d’informations d’identification et les ransomwares étant les plus courants. Les attaques BadUSB sont une forme d’ingénierie sociale. L’ingénierie sociale essaie de manipuler la victime pour qu’elle prenne des mesures qui profitent aux acteurs de la menace. La lettre d’accompagnement convaincante et d’autres pièges se combinent pour ajouter de l’authenticité à l’identité de l’expéditeur.
EN RELATION: Pourquoi votre personnel est votre maillon faible de la cybersécurité
Étapes à suivre
Comme pour toutes les attaques d’ingénierie sociale, la meilleure défense est l’éducation, mais vous pouvez également prendre d’autres mesures.
- La formation de sensibilisation du personnel, appuyée par des tests de sensibilité, aidera à empêcher ce type d’attaque d’être efficace. Cela devrait être répété au moins une fois par an.
- Si les clés USB n’ont pas besoin de faire partie des flux de travail, envisagez de désactiver l’accès USB. Utilisez le stockage de fichiers dans le cloud ou d’autres moyens pour transférer des fichiers trop volumineux pour être envoyés par e-mail et qui doivent être accessibles à différents endroits.
- Désactivez l’exécution automatique pour les périphériques USB.
- Assurez-vous que le logiciel de protection des terminaux analyse les lecteurs USB lors de leur insertion.
- Un ordinateur de « décontamination » isolé peut être utilisé pour scanner et inspecter toutes les clés USB si elles doivent être introduites dans vos locaux.
Vous pouvez lire l’article original (en Angais) sur le sitewww.cloudsavvyit.com