{"id":18295,"date":"2019-04-17T17:42:02","date_gmt":"2019-04-17T15:42:02","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18295"},"modified":"2019-11-22T10:54:01","modified_gmt":"2019-11-22T08:54:01","slug":"weaponized-usb-devices","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/weaponized-usb-devices\/18295\/","title":{"rendered":"Dispositivos USB infectados como vector de ataque"},"content":{"rendered":"

Los dispositivos USB son la fuente principal de malware<\/em> para los sistemas de control industrial, seg\u00fan afirm\u00f3 Luca Bongiorni de Bentley Systems en su charla en #TheSAS2019. La mayor\u00eda de los que estamos involucrados en la seguridad conocemos historias sobre memorias USB que se caen de forma \u201caccidental\u201d en aparcamientos<\/a>, es una historia tan ilustrativa que es imposible no seguir cont\u00e1ndola.<\/p>\n

Otra historia (real) de memorias USB trata sobre un empleado de una planta industrial que quer\u00eda ver La La Land<\/em>, por lo que descarg\u00f3 la pel\u00edcula en un dispositivo USB durante la comida. As\u00ed comienza la historia de la infecci\u00f3n de un sistema aislado en una planta nuclear, una historia demasiado familiar de un caso de infecci\u00f3n de una infraestructura cr\u00edtica<\/a> que podr\u00eda haberse evitado f\u00e1cilmente.<\/p>\n

Pero los usuarios suelen olvidar que los dispositivos de USB no siempre son dispositivos de memoria. Los dispositivos de interfaz humana (HID por sus siglas en ingl\u00e9s) como el teclado o el rat\u00f3n, los cargadores de los smartphones<\/em> e, incluso, las l\u00e1mparas de plasma y las tazas t\u00e9rmicas, pueden manipularse para atacar los sistemas de control industrial.<\/p>\n

Una corta historia de USB infectados<\/h3>\n

A pesar de que los usuarios no lo recuerden, los dispositivos USB infectados no son ninguna novedad, de hecho, la primera vez que se escribi\u00f3 sobre este tipo de dispositivos fue en el 2010. Bas\u00e1ndose en una peque\u00f1a placa programable llamada Teensy y equipados con un conector USB, los ciberdelincuentes pudieron actuar como una HID enviando las pulsaciones del teclado a un ordenador. No tardaron mucho en darse cuenta de que los dispositivos podr\u00edan utilizarse para pruebas de penetraci\u00f3n y realizaron una versi\u00f3n programada para crear nuevos usuarios, ejecutar programas que a\u00f1adieran puertas traseras e infectar con malware,<\/em> ya fuera copiando o descargando la carga maliciosa de un sitio web espec\u00edfico.<\/p>\n

La primera versi\u00f3n de la modificaci\u00f3n de Teensy recibi\u00f3 el nombre de PHUKD<\/a>. Kautilya<\/a>, que era compatible con las placas Arduino m\u00e1s populares, fue la siguiente. Gracias a Mr. Robot<\/em> apareci\u00f3 Rubberducky, posiblemente la mejor herramienta USB de emulaci\u00f3n de pulsaciones y pr\u00e1cticamente igual que una unidad USB corriente. Posteriormente, se utiliz\u00f3 un dispositivo a\u00fan m\u00e1s potente llamado Bash Bunny para atacar a los cajeros autom\u00e1ticos<\/a>.<\/p>\n

El inventor de PHUKD tuvo la idea de crear un rat\u00f3n de troyanos con una placa de test de penetraci\u00f3n en su interior, de esta forma, adem\u00e1s de funcionar como un rat\u00f3n normal y corriente, tambi\u00e9n pod\u00eda hacer todas las funciones del PHUKD. Desde la perspectiva de la ingenier\u00eda social, utilizar HID para penetrar sistemas deber\u00eda de ser m\u00e1s f\u00e1cil que utilizar memorias USB para este mismo prop\u00f3sito, porque incluso aquellos que desconf\u00edan de insertar una unidad desconocida en su PC, por lo general, no se preocupan por los teclados o ratones.<\/p>\n

La segunda generaci\u00f3n de estos dispositivos USB infectados se cre\u00f3 durante los a\u00f1os 2014 y 2015 e incluy\u00f3 a los dispositivos basados en BadUSB<\/a>. TURNIPSCHOOL y Cottonmouth, presuntamente desarrollados por la Agencia de Seguridad Nacional de Estados Unidos (NSA por sus siglas en ingl\u00e9s), tambi\u00e9n merecen una menci\u00f3n. Eran dispositivos tan peque\u00f1os que podr\u00edan encajar en un cable USB y utilizarse para extraer datos de ordenadores (incluidos aquellos sin conexi\u00f3n). Un simple cable no resulta muy preocupante, \u00bfverdad?<\/p>\n

El estado actual de los dispositivos USB infectados<\/h3>\n

La tercera generaci\u00f3n de herramientas de test de penetraci\u00f3n en USB los ha llevado a un nuevo nivel. Una de estas herramientas es WHID Injector, que se trata b\u00e1sicamente de Rubberducky con conexi\u00f3n wifi. Esta conexi\u00f3n hace posible que no necesite una programaci\u00f3n inicial con todo el procedimiento que implica, es decir, un ciberdelincuente puede controlarla en remoto, lo que ofrece m\u00e1s flexibilidad y la posibilidad de trabajar con diferentes sistemas operativos. Otra herramienta de tercera generaci\u00f3n es P4wnP1, basado en Raspberry Pi y muy similar a Bash Bunny pero con alguna funci\u00f3n adicional, incluida la conectividad inal\u00e1mbrica.<\/p>\n

Y, evidentemente, tanto WHID Injector como Bash Bunny son lo suficientemente peque\u00f1os como para introducirse en un teclado o rat\u00f3n. Este v\u00eddeo muestra un port\u00e1til que no est\u00e1 conectado a ninguna red por USB, Ethernet, ni wifi, pero que est\u00e1 conectado a un teclado con un troyano que permite al ciberdelincuente ejecutar comandos y acciones en remoto.<\/p>\n

\n

pic.twitter.com\/C13mP8aBsL<\/a><\/p>\n

\u2014 Luca Bongiorni (@CyberAntani) February 14, 2018<\/a><\/p><\/blockquote>\n