روابط سريعة
لقد ضربت موجة من الهجمات الإلكترونية التي تعتمد على منافذ USB مؤخرًا مؤسسات في الولايات المتحدة. يتم إرسال أجهزة USB ضارة إلى ضحايا محددين. وبمجرد توصيلها، يحدث الضرر.
التهديدات التي تشكلها محركات أقراص USB
إن محركات أقراص USB مريحة، وبأسعار معقولة، ومتوفرة في كل مكان. ولكن هذه الراحة تأتي على حساب الأمان. إن محركات أقراص USB محمولة، ويمكن إخفاؤها، ويمكن استخدامها لاستخراج المعلومات الحساسة من أجهزة الكمبيوتر والشبكات الخاصة بالشركات. ولهذا السبب، تحظر العديد من المؤسسات محركات أقراص USB في أماكن العمل وتستخدم أدوات برمجية لتعطيل الوصول عبر USB. ولكن مثل هذه التدابير ليست هي القاعدة. وعادة ما يتم نشرها فقط في المؤسسات الأكبر حجمًا. وفي أماكن أخرى، تكون محركات أقراص USB مجانية الاستخدام.
إن سرقة البيانات ليست سوى أحد التهديدات. فقد يتم إساءة وضع محركات أقراص USB أو فقدها، مما يعرض المعلومات الخاصة والحساسة للخطر. تُستخدم محركات أقراص USB عادةً لنقل الملفات ونقلها بين أجهزة الكمبيوتر. إذا تم توصيل محرك أقراص بجهاز كمبيوتر مصاب ببرامج ضارة، فإن محرك أقراص USB يصاب بالعدوى. ثم يصبح آلية نقل للبرامج الضارة. ومن المرجح أن يتم توصيل محركات أقراص USB بأجهزة كمبيوتر منزلية غير محمية بشكل جيد وكذلك أجهزة كمبيوتر للشركات، مما يزيد من مخاطر الإصابة بالعدوى.
بالإضافة إلى الإصابة العرضية بالبرامج الضارة، يمكن تجهيز محركات أقراص USB ببرامج ضارة وتركها كطُعم. وأسهل طريقة للقيام بذلك هي إخفاء برنامج ضار بحيث يبدو وكأنه ملف PDF أو مستند، على أمل أن يحاول الضحية فتحه. وهناك طرق أخرى أكثر دهاءً.
في يناير 2022، أصدر مكتب التحقيقات الفيدرالي بيانًا بشأن موجة جديدة من الهجمات الإلكترونية القائمة على محركات أقراص USB، والتي أطلق عليها اسم BadUSB. تم إرسال محركات أقراص USB إلى الموظفين في مؤسسات النقل والدفاع والمالية.
كانت محركات أقراص USB مصحوبة برسائل مقنعة. بعضها زعم أنها من وزارة الصحة والخدمات الإنسانية الأمريكية وتحدثت عن إرشادات COVID-19. قلد البعض الآخر صناديق هدايا أمازون وحتى بطاقة هدايا مزورة. تم تعديل محركات أقراص USB بحيث تهاجم أجهزة الكمبيوتر المستهدفة بمجرد توصيلها.
الطعم والانتظار
إن ترك محركات أقراص USB في مواقف سيارات الموظفين وغيرها من المناطق التي يسهل الوصول إليها في الشركة يعد طريقة بسيطة لإيصال محركات أقراص USB الضارة إلى أيدي الموظفين. وتزيد الحيل الهندسية الاجتماعية البسيطة من احتمالية أن يأخذها شخص ما إلى مكان عمله ويدخلها في جهاز الكمبيوتر الخاص به.
يتم زرع محركات أقراص USB قبل الغداء. وبهذه الطريقة، يجدها الموظفون في وقت الغداء. وسوف يعودون إلى مكاتبهم في فترة ما بعد الظهر. وإذا سقطت محركات أقراص USB بعد الغداء، فمن المرجح أن يجدها الموظف في نهاية يوم عمله ويأخذها إلى المنزل.
يؤدي ربط مجموعة من المفاتيح بمحرك أقراص USB إلى تغيير اكتشافها من “لقد وجدت محرك أقراص USB” إلى “لقد وجدت مفاتيح شخص ما”. وهذا يؤدي إلى مجموعة مختلفة من ردود الفعل. يمكن لأي شخص أن يتفهم المتاعب المترتبة على فقدان مجموعة من المفاتيح. في محاولة لمحاولة القيام بالشيء الصحيح وتحديد المالك، من المرجح جدًا أن يقوم الشخص الذي يجدها بفحص محرك أقراص USB بحثًا عن أدلة.
إذا رأوا مستندًا يحمل عنوانًا جذابًا، مثل “خطط التخفيض” أو “شراء الإدارة”، فمن المحتمل أن يحاولوا فتحه. إذا كان المستند عبارة عن برنامج ضار حقًا أو يحمل حمولة ضارة، فإن الكمبيوتر ـ وبالتالي الشبكة ـ مصاب.
يجب أن يوضح تدريب الموظفين على التوعية بالأمن السيبراني مخاطر توصيل محركات أقراص USB مجهولة الهوية. عندما أُكلف بتقديم تدريب على التوعية للموظفين، أتابع بعد بضعة أسابيع بهجمات محاكاة حميدة. وهذا يقيس قابلية الموظفين للتعرض للخطر. وهو يسمح بتكرار وحدات التدريب إذا وجد هجوم معين عددًا غير متناسب من الضحايا، كما يسمح بتحديد الأفراد ذوي الأداء الضعيف وإعادة تدريبهم.
إن عمليات إسقاط البيانات عبر USB ناجحة في أغلب الأحيان. وحتى عندما يتمكن أعضاء الفريق من تحديد رسائل البريد الإلكتروني الاحتيالية وأنواع الهجمات الأخرى بشكل صحيح، فإن البعض يقع فريسة لإغراء محرك أقراص USB. هناك شيء ما في طبيعة محرك أقراص USB ــ ربما لأنه خامل تمامًا ما لم يتم توصيله ــ يجعل بعض الأشخاص غير قادرين على مقاومة توصيله. على الأقل، حتى يتم القبض عليهم للمرة الأولى.
إن نهج “من تعرض للدغة واحدة، فتجنبها مرتين” مقبول في سياق حملة اختبار حميدة، ولكن في ظل التهديد الحقيقي، فأنت مصاب بالفعل.
الدوس على لغم أرضي
تستخدم الهجمات الأكثر تعقيدًا أجهزة USB التي يمكنها إصابة الكمبيوتر دون أن يحاول المستخدم تشغيل برنامج أو فتح ملف. تم إنشاء أجهزة USB ضارة – وتم العثور عليها في الميدان – والتي استغلت ثغرة في الطريقة التي يحلل بها Windows البيانات الوصفية في اختصارات Windows. تم استغلال هذه الثغرة بحيث تم تنفيذ تطبيق لوحة تحكم مزيف. كان تطبيق لوحة التحكم المزيف هو البرنامج الضار.
كل ما كان مطلوبًا من المستخدم هو إدخال محرك أقراص USB وعرض قائمة الملفات الموجودة على الجهاز. تسببت الاختصارات الموجودة على محرك أقراص USB في تشغيل تطبيق لوحة تحكم ضار. كان التطبيق الضار موجودًا أيضًا على محرك أقراص USB.
تم تعديل أجهزة BadUSB بحيث تتطلب قدرًا أقل من التفاعل. كل ما هو مطلوب هو أن يقوم الضحية بإدخال محرك أقراص USB.
عندما يتم توصيلها، تجري أجهزة USB محادثة مع نظام التشغيل. يحدد الجهاز نفسه بإخبار نظام التشغيل بالعلامة التجارية والطراز ونوع الجهاز. بناءً على نوع الجهاز، قد يستجوب نظام التشغيل جهاز USB للحصول على مزيد من المعلومات حول نفسه وقدراته. يتم تعديل أجهزة BadUSB – يتم استبدال البرامج الثابتة للشركة المصنعة ببرامج ثابتة مخصصة بواسطة الجهات الفاعلة المهددة – بحيث تحدد نفسها على أنها لوحة مفاتيح USB.
بمجرد تسجيل الجهاز في نظام التشغيل Windows باعتباره لوحة مفاتيح، فإنه يرسل سلسلة من الأحرف إلى نظام التشغيل. ويقبل Windows هذه الأحرف كمدخلات مكتوبة ويتصرف بناءً عليها. تفتح الأوامر نافذة PowerShell وتقوم بتنزيل البرامج الضارة. ولا يحتاج المستخدم إلى أكثر من إدخال محرك أقراص USB.
إن أجهزة USB الخبيثة المعروفة باسم USB Killers معروفة بالفعل، ولكنها أجهزة بدائية تلحق الضرر بالكمبيوتر المتصل بها. حيث تتراكم كمية صغيرة من الطاقة الكهربائية التي يتم إرسالها إلى أجهزة USB وتتضخم داخل USB Killer ثم يتم إطلاقها في شكل دفعات سريعة تصل إلى 200 فولت مرة أخرى إلى الكمبيوتر عبر منفذ USB. ويؤدي الضرر المادي الذي يحدثه هذا إلى جعل الكمبيوتر غير قابل للتشغيل. ولا تحقق أجهزة USB Killers أي شيء يتجاوز التخريب، على الرغم من خطورته. فهي لا تنشر البرامج الضارة أو تصيب الكمبيوتر أو الشبكة بأي شكل من الأشكال.
من خلال التنكر في هيئة لوحة مفاتيح، يمكن لأجهزة BadUSB تنزيل وتثبيت أي نوع من البرامج الضارة، حيث تعد برامج انتزاع بيانات الاعتماد وبرامج الفدية الأكثر شيوعًا. تعد هجمات BadUSB شكلاً من أشكال الهندسة الاجتماعية. تحاول الهندسة الاجتماعية التلاعب بالضحية لحمله على اتخاذ بعض الإجراءات التي تفيد الجهات الفاعلة في التهديد. تتحد رسالة الغلاف المقنعة وغيرها من الحيل لإضافة المصداقية إلى هوية المرسل.
الخطوات التي يمكنك اتخاذها
كما هو الحال مع جميع هجمات الهندسة الاجتماعية، فإن أفضل وسيلة للدفاع هي التعليم، ولكن هناك خطوات أخرى يمكنك اتخاذها أيضًا.
- إن تدريب الموظفين على الوعي ـ المدعوم باختبارات الحساسية ـ من شأنه أن يساعد في منع هذا النوع من الهجمات من أن يصبح فعالاً. وينبغي تكرار ذلك مرة واحدة على الأقل سنوياً.
- إذا لم تكن محركات أقراص USB ضرورية لتكون جزءًا من سير العمل، ففكر في تعطيل الوصول عبر USB. استخدم تخزين الملفات السحابي أو وسائل أخرى لنقل الملفات التي تكون كبيرة جدًا بحيث لا يمكن إرسالها عبر البريد الإلكتروني وتحتاج إلى الوصول إليها في مواقع مختلفة.
- تعطيل التشغيل التلقائي لأجهزة USB.
- تأكد من أن برنامج حماية النقطة النهائية يقوم بفحص محركات أقراص USB عند إدخالها.
- يمكن استخدام جهاز كمبيوتر معزول عن الهواء “لإزالة التلوث” لفحص وفحص أي أجهزة USB إذا كان يجب إدخالها إلى المبنى الخاص بك.