{"id":19067,"date":"2019-04-17T16:20:07","date_gmt":"2019-04-17T14:20:07","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19067"},"modified":"2019-11-22T12:07:16","modified_gmt":"2019-11-22T10:07:16","slug":"weaponized-usb-devices","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/weaponized-usb-devices\/19067\/","title":{"rendered":"Wenn USB-Ger\u00e4te zur Cyber-Waffe werden"},"content":{"rendered":"

\u201eF\u00fcr industrielle Steuerungssysteme sind USB-Ger\u00e4te die Hauptquelle von Malware.\u201c Dieses Statement gab Luca Bongiorni von Bentley Systems w\u00e4hrend seines Vortrags auf dem #TheSAS2019. Die meisten Leute, die in irgendeiner Weise mit Sicherheit zu tun haben, kennen klassische Geschichten \u00fcber Flash-Laufwerke, die irgendwem \u201eversehentlich\u201c auf einem Parkplatz aus der Tasche gefallen sind<\/a>, wahrscheinlich zu gen\u00fcge. Aber in unserer Branche ist diese Geschichte einfach zu illustrativ, um sie nicht immer wieder zu erz\u00e4hlen.<\/p>\n

Bei einer anderen \u2013 realen \u2013 Story \u00fcber USB-Flashlaufwerke war der Protagonist der Mitarbeiter einer Industrieanlage, der sich den Spielfilm La La Land<\/em> w\u00e4hrend seiner Mittagspause auf einen USB-Stick lud. Und das war der Beginn einer Geschichte, die mit der Infektion des Air-Gap-Systems eines Kernkraftwerks endete; Eine Geschichte, die sich (wie so oft) in das Genre \u201evermeidbare Infektion kritischer Infrastrukturen\u201c<\/a> einordnen l\u00e4sst.<\/p>\n

Leider vergessen viele, dass USB-Ger\u00e4te nicht ausschlie\u00dflich auf Flashlaufwerke beschr\u00e4nkt sind. Human Interface Devices<\/em> (HIDs) wie Tastaturen und M\u00e4use, Ladekabel f\u00fcr Smartphones und sogar Dinge wie Plasmab\u00e4lle und Thermobecher k\u00f6nnen manipuliert werden, um industrielle Steuerungssysteme anzuvisieren.<\/p>\n

Eine kurze Geschichte existierender USB-Waffen<\/h2>\n

Ungeachtet der Vergesslichkeit der Menschen, sind als Waffen eingesetzte USB-Ger\u00e4te definitiv nichts Neues. Die ersten Ger\u00e4te dieser Art wurden bereits im Jahr 2010 verzeichnet. Basierend auf einem kleinen Entwicklungsboard namens Teensy<\/em>, ausgestattet mit einem USB-Anschluss, konnten sie als HIDs fungieren und beispielsweise Tastatureingaben an einen PC senden. Hacker stellten schnell fest, dass die Ger\u00e4te zu Penetrationstestzwecken dienten, und entwickelten daraufhin eine \u00e4hnliche Version, die darauf ausgerichtet war, neue Nutzer zu erstellen, Backdoor-liefernde Programme auszuf\u00fchren oder Ger\u00e4te mit Malware zu infizieren.<\/p>\n

Die erste Version dieser Teensy-Modifikation war unter dem Namen PHUKD<\/a><\/em> bekannt. Es folgte Kautilya<\/a><\/em>, eine Variante, die mit den bekannteren Arduino-Boards kompatibel war. Danach kam Rubberducky<\/em> \u2013 dank der Serie Mr. Robot der vielleicht bekannteste USB-Tastatur-Emulator, der auf den ersten Blick wie ein ganz gew\u00f6hnlicher USB-Stick erscheint. Bei Angriffen auf Geldautomaten<\/a> wurde ein leistungsf\u00e4higeres Ger\u00e4t namens Bash Bunny<\/em> verwendet.<\/p>\n

Es dauerte nicht lange, bis der Erfinder von PHUKD auf eine neue Idee kam und eine trojanisierte Maus mit integriertem Pentesting-Board entwickelte, die nicht nur wie eine normale Maus funktionierte, sondern dar\u00fcber hinaus auch alle PHUKD-F\u00e4higkeiten besa\u00df. Unter Social-Engineering-Gesichtspunkten ist die Verwendung echter HIDs f\u00fcr die Systempenetration m\u00f6glicherweise noch einfacher als der Gebrauch eines USB-Sticks, da selbst Personen, die keinen<\/em> fremden USB-Stick an ihren PC anschlie\u00dfen w\u00fcrden, normalerweise keine Bedenken bei Tastaturen oder M\u00e4usen haben.<\/p>\n

Die zweite Generation der als Waffen eingesetzten USB-Ger\u00e4te wurde in den Jahren 2014 und 2015 ins Leben gerufen; zu ihnen geh\u00f6rten auch die ber\u00fcchtigten BadUSB-basierten Ger\u00e4te. Erw\u00e4hnenswert sind auch TURNIPSCHOOL und Cottonmouth, die angeblich von der US-amerikanischen National Security Agency (NSA) entwickelt worden waren: bei ihnen handelte es sich um Ger\u00e4te, die so klein waren, dass sie in ein USB-Kabel integriert werden konnten, um Daten von Computern (einschlie\u00dflich Computer ohne Netzwerkverbindung) abzufangen.<\/p>\n

Aktueller Stand sch\u00e4dlicher USB-Ger\u00e4te<\/h3>\n

Die dritte Generation der USB-Pentesting-Tools bringt diese auf ein v\u00f6llig neues Niveau. Der sogenannte WHID Injector ist beispielsweise ein solches Tool; hierbei handelt es sich im Grunde genommen um einen zweiten Rubberducky mit WLAN-Verbindung, die es Hackern erlaubt, das Tool fernzusteuern, was ihnen mehr Flexibilit\u00e4t und die M\u00f6glichkeit, mit verschiedenen Betriebssystemen zu arbeiten, bietet. Ein weiteres Tool der dritten Generation ist P4wnP1, das auf Raspberry Pi basiert und, abgesehen von einigen zus\u00e4tzlichen Features, Bash Bunny sehr \u00e4hnlich ist.<\/p>\n

Und nat\u00fcrlich sind sowohl WHID Injector als auch Bash Bunny klein genug, um in eine Tastatur oder Maus eingebettet zu werden. Das folgende Video zeigt einen Laptop, der mit einer trojanisierten Tastatur verbunden ist, die es einem Remote-Angreifer erlaubt, beliebige Befehle und Apps auszuf\u00fchren.<\/p>\n

\n

pic.twitter.com\/C13mP8aBsL<\/a><\/p>\n

\u2014 Luca Bongiorni (@CyberAntani) February 14, 2018<\/a><\/p><\/blockquote>\n