Когда хакеры из тестовой фирмы Netragard были наняты для проверки брандмауэра
клиента на возможность проникновения, они знали, что их работа будет сильно
осложнена. Заказчик намеренно закрыл доступ к социальным сетям, телефонам и
другим направлениям социального инжиниринга. Получение несанкционированного
физического доступа к компьютерам было также под запретом.
Лишенные легкого варианта решения проблемы, хакеры обычно полагаются на
дополнительные средства. Так, технический директор компании Netragard, Эдриэл
Дисотэлз, позаимствовал идею проникновения прямо из фильма "Миссия невыполнима":
он модифицировал популярную стандартную мышь и оборудовал ее флэш-накопителем, а
также мощным микроконтроллером, который запускает код атаки и обеспечивает
доступ к любому подключенному к нему компьютеру.
Для того, чтобы атака состоялась, модифицированная USB-мышь Logitech должна
выглядеть и вести себя в точности так, как и обычное устройство. Но, кроме того,
она должна также обладать секретными возможностями, которые позволят ей делать
вещи, о которых пользователь не смеет даже мечтать.
"Микроконтроллер действует так, как будто за компьютером сидит человек и
набирает что-то на клавиатуре", - объясняет Дисотэлз. "Когда обеспечивается
определенный ряд условий, микроконтроллер отсылает команды компьютеру, создавая
иллюзию того, что их набрали с помощью клавиатуры или мыши".
Микроконтроллер Teensy, запрограммированный хакерами из компании Netragard,
был установлен на 60 секунд ожидания после подключения к компьютеру, после чего
начинал вводить команды через клавиатуру, тем самым приводя в исполнение
вредоносное ПО, хранящееся на флэш-накопителе, находящемся внутри корпуса мыши
Logitech. Чтобы исключить возможность тревоги антивируса McAfee, который защищал
компьютеры заказчика, микроконтроллер содержал недокументированный атакующий
код, который отключил диалоговые окна антивируса, чтобы избежать обнаружения.
Дисотэлз пояснил, что предпочел этот запутанный метод более простому варианту
атаки, который был бы основан на использовании флэш-карты и функциональных
особенностях Windows, который автоматически приводит в действие содержимое
носителя при подключении к компьютеру. Как было сообщено ранее, число
вредоносных программ, использующих функцию Autorun, резко
сократилось после того, как
Microsoft отключила данную функцию.
Однако модифицированная мышь не была заблокирована, так как она не использует
функцию Autorun для запуска вредоносного ПО. Фактически, программируемый
микроконтроллер действовал как вредоносный шпион, находящийся целиком и
полностью под контролем исследователей по проникновениям из компании Netragard,
которые и создали его. Так как атакующий код запускается мини-компьютером с
карты Teensy, устройство может функционировать против разнообразных операционных
систем, а не только против Windows. Более того, для него не требуется никаких
драйверов.
"Вы подключаете компьютерное устройство, будь то клавиатура или мышь, а оно
обладает собственным разумом", - говорит Дисотэлз. "И от этого нет никакой
защиты. Подключи одно из таких устройств и считай все пропало".
Чтобы заставить кого-нибудь из компании-цели использовать модифицированную
мышь, компания Netragard заранее обзавелась списком сотрудников с именами и
прочей информацией. После определения нужного сотрудника они отправили ему
модифицированную мышь, которую положили в первоначальную упаковку и добавили к
ней рекламные материалы, заставив посылку выглядеть как часть рекламной акции.
Три дня спустя вредоносное ПО, содержащееся внутри мыши, подключилось к серверу,
контролируемому компанией Netragard. Большинство вредоносных программ,
использованных для атаки, было впервые придумано исследователем по безопасности
Эдриеном Креншо.
Подробный отчет компании Netragard об атаке
опубликован как результаты недавнего исследования министерства внутренней
безопасности США, которое показало, что 60% сотрудников, которые обнаружили
диски или USB-карты на парковочных стоянках правительственных зданий и частных
подрядчиков, немедленно подсоединяли их к своим компьютерам.
