Home → Analizy → Zagrożenia → Raporty zagrożeń → Zagrożenia rozprzestrzeniane za pośrednictwem urządzeń USB – od szkodliwego oprogramowania po kryptokoparki
Wprowadzenie
W 2016 r. badacze z University of Illinois zostawili 297 nieoznaczonych nośników pamięci USB na terenie kampusu uniwersyteckiego, żeby przekonać się, co z tego wyniknie. 98% podrzuconych urządzeń zostało zabranych przez personel i studentów, z czego co najmniej połowa została wpięta do komputerów w celu przejrzenia zawartości. Dość zachęcający wynik dla hakera próbującego zainfekować sieć komputerową.
Nośniki pamięci USB istnieją już od prawie 20 lat. Dzięki nim możemy łatwo i wygodnie przechowywać i przenosić pliki cyfrowe pomiędzy komputerami, które nie są bezpośrednio połączone ze sobą ani z Internetem. Niestety mogą one również stanowić narzędzie wykorzystywane przez ugrupowania cyberprzestępcze. W 2010 r. miał miejsce głośny incydent związany z robakiem Stuxnet, w którym wykorzystano nośniki pamięci USB w celu wstrzyknięcia szkodliwego oprogramowania do sieci irańskiej elektrowni nuklearnej.
Obecnie w celu przechowywania i przenoszenia plików wykorzystuje się głównie usługi w chmurze, takie jak Dropbox. Istnieje również większa świadomość zagrożeń związanych z nośnikami USB. W efekcie są one coraz rzadziej wykorzystywane jako podstawowe narzędzie biznesowe. Mimo to co roku produkowane i sprzedawane są miliony nośników USB. Wiele z nich jest używanych w domu lub w kampaniach biznesowych oraz marketingowych, gdzie są rozdawane jako upominki dla uczestników targów.
Nośniki USB nadal znajdują się na celowniku cyberprzestępców. Dane Kaspersky Lab dotyczące 2017 r. pokazują, że mniej więcej co roku około jeden na czterech użytkowników na całym świecie stanowi cel „lokalnego” cyberincydentu. Są to ataki wykryte bezpośrednio na komputerze użytkownika i obejmują infekcje przy użyciu nośników wymiennych takich jak urządzenia USB.
Ten krótki raport stanowi przegląd obecnego krajobrazu cyberzagrożeń dla nośników wymiennych, w szczególności urządzeń USB. Przedstawia również porady i zalecenia dotyczące ochrony tych niewielkich urządzeń oraz przechowywanych na nich danych.
Metodologia i główne ustalenia
Przegląd opiera się na wykryciach w katalogu głównym dysku komputerów użytkowników dokonanych przez technologie ochrony plików firmy Kaspersky Lab z zastosowaniem określonego filtru skanowania oraz innych metod. Dotyczy jedynie ataków przy użyciu szkodliwego oprogramowania bez uwzględniania wykryć potencjalnie niebezpiecznych lub niechcianych programów takich jak adware czy niebezpieczne narzędzia (risk tool) (programy, które, choć same w sobie nie są szkodliwe, są wykorzystywane do ukrywania plików lub zamykania aplikacji itd., które mogą być użyte do szkodliwych celów). Dane dot. wykrywania są przekazywane dobrowolnie przez użytkowników Kaspersky Security Network (KSN).
Najważniejsze wyniki
Ewoluujący krajobraz cyberzagrożeń dla urządzeń USB
Infekcje przy użyciu nośników wymiennych są określane jako zagrożenia lokalne, czyli takie, które są wykrywane bezpośrednio na komputerze użytkownika, np. podczas skanowania bezpieczeństwa przeprowadzanego zgodnie z harmonogramem, podczas instalacji lub inicjowanego przez użytkownika. Zagrożenia lokalne różnią się od tych, które atakują komputery za pośrednictwem Internetu (zagrożenia WWW), które są znacznie bardziej rozpowszechnione. Aby wyodrębnić dane dotyczące szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem nośników wymiennych takich jak urządzenia USB, wzięliśmy pod uwagę jedynie szkodniki wykryte w katalogu głównym dysku zainfekowanych komputerów – co wyraźnie wskazuje na nośniki wymienne jako źródło infekcji.
Z danych tych wynika, że liczba wykrytych zagrożeń na nośnikach wymiennych (w katalogu głównym dysku) odnotowuje stały spadek od 2014 r., jednak jest on już wolniejszy. W 2014 r. stosunek liczby użytkowników, którzy stanowili cel zagrożenia rozprzestrzenianego za pośrednictwem nośników wymiennych, do łącznej liczby wykrytych tego typu zagrożeń stanowił 1:42, podczas gdy w 2017 r. zmniejszył się o około połowę do 1:25. Szacuje się, że w 2018 r. będzie wynosił 1:22.
Liczby te wydają się mało imponujące w porównaniu z zagrożeniami WWW: w 2017 r. ochrona antywirusowa plików firmy Kaspersky Lab wykryła 113,8 miliona potencjalnych zagrożeń dla nośników wymiennych, podczas gdy ochrona WWW odparła blisko 1,2 miliarda ataków przeprowadzonych z zasobów online. Wobec takich statystyk nietrudno przeoczyć wciąż aktualne zagrożenia, jakie mogą stwarzać nośniki wymienne, chociaż – jak przewiduje się - około cztery miliony użytkowników na świecie zostaną zainfekowane w ten sposób w 2018 roku.
*Łączna liczba (w milionach) szkodliwych programów wykrytych w katalogu głównym dysku komputerów użytkowników, co wyraźnie wskazuje na nośniki wymienne jako źródło infekcji, 2013 – 2018. Źródło: KSN
*Liczba unikatowych użytkowników (w milionach), na komputerach których wykryto szkodliwe oprogramowanie w katalogu głównym dysku, co wyraźnie wskazuje na nośniki wymienne jako źródło infekcji, 2013 – 2018. Źródło: KSN
Urządzenia USB są popularne wśród osób atakujących sieci komputerowe, które nie są połączone z Internetem, np. sieci obsługujące krytyczną infrastrukturę krajową. Najbardziej znanym przykładem jest tu prawdopodobnie kampania Stuxnet. W 2009 i 2010 r. robak Stuxnet zaatakował obiekty jądrowe Iranu w celu zakłócenia ich operacji.
Urządzenia USB zostały użyte w celu wstrzyknięcia szkodliwego oprogramowania do fizycznie odizolowanych sieci tych obiektów. Zawierały, między innymi, exploita wykorzystującego lukę w Windows LNK (CVE-2010-2568), która umożliwiała zdalne wykonanie kodu. Inne zaawansowane ugrupowania cyberprzestępcze, w tym Equation Group, Flame, Regin oraz HackingTeam, zintegrowały exploity dla tej luki w nośnikach wymiennych wykorzystanych do ataków.
Należy wspomnieć, że struktura większości urządzeń USB pozwala na ich konwertowanie w celu zapewnienia ukrytych przedziałów pamięci, np. w celu usunięcia skradzionych danych. Wykryto, że zestaw narzędzi ProjectSauron 2016 zawierał specjalny moduł, który miał na celu przenoszenie danych z fizycznie odizolowanych sieci do systemów połączonych z Internetem. Urządzenia USB zostały tak sformatowane, aby mogły zmieniać rozmiar partycji na dysku USB, rezerwując pewną ilość ukrytej przestrzeni (kilkaset megabajtów) na końcu dysku do wykorzystania w szkodliwych celach.
Microsoft załatał ostatnią podatną na ataki ścieżkę kodu LNK w marcu 2015 r. Jednak w 2016 r. aż jeden na czterech użytkowników produktów Kaspersky Lab, którzy stanowili cel dowolnego exploita w jakimkolwiek ataku, w tym za pośrednictwem zagrożeń WWW, miał do czynienia z exploitem wykorzystującym tę lukę. Exploit dla luki CVE-2010-2568 nadal występuje w szkodliwym oprogramowaniu rozprzestrzenianym za pośrednictwem urządzeń USB oraz innych nośników wymiennych: chociaż liczba wykrytych szkodników i ofiar zmniejsza się w szybkim tempie, exploit ten jest nadal zaliczany do 10 największych zagrożeń wykrywanych w katalogu głównym dysku przez system KSN.
Łączna liczba (w milionach) wykryć w katalogu głównym dysku (nośniki wymienne) exploita wykorzystującego lukę CVE-2010-2568, 2013 – 2018. Źródło: KSN
Użytkownicy, na których komputerach wykryto w katalogu głównym dysku exploita wykorzystującego lukę CVE-2010-2568, 2013 – 2018. Źródło: KSN
Podczas gdy liczba wykrytych exploitów wskazuje na ilość szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem nośników wymiennych takich jak urządzenia USB, w dalszej części przedstawiono rodzaj rozprzestrzenianego w ten sposób szkodliwego oprogramowania.
Jeśli chodzi o najbardziej rozpowszechnione szkodliwe oprogramowanie rozprzestrzeniane za pośrednictwem nośników wymiennych - zasadniczo nic nie zmieniło się od co najmniej 2016 r. Na przykład, rodzina szkodliwego oprogramowania WinLNK – trojany zawierające odsyłacze umożliwiające pobranie szkodliwych plików lub ścieżki w celu uruchomienia szkodliwego pliku wykonywalnego - nadal znajduje się w trójce najbardziej rozpowszechnionych zagrożeń rozprzestrzenianych za pośrednictwem nośników wymiennych. Szkodnik ten jest wykorzystywany przez osoby atakujące w celu niszczenia, blokowania, modyfikowania lub kopiowania danych lub zakłócania działania urządzenia bądź jego sieci. Trojan WinLNK Runner, który stanowił najczęściej wykrywane zagrożenie dla urządzeń USB w 2017 r., jest wykorzystywany w robakach w celu uruchamiania plików wykonywalnych.
W 2017 r. wykryto 22,7 miliona prób infekcji szkodnikiem WinLNK.Agent, które dotknęły prawie 900 000 użytkowników. Szacuje się, że w 2018 r. liczba ataków wyniesie około 23 miliony, uderzając w ponad 700 000 użytkowników. To stanowi 2% wzrost liczby wykrytych ataków oraz 20% spadek liczby zaatakowanych użytkowników w stosunku rocznym.
Jeżeli chodzi o trojana WinLNK Runner, spodziewamy się znacznie większego spadku liczby wykrytych infekcji – z 2,75 miliona w 2017 r. do 1 miliona w 2018 r. (61%). Z kolei liczba zaatakowanych użytkowników zmniejszy się o 51% (z około 920 000 w 2017 r. do ponad 450 000 w 2018 r.).
Inne najbardziej rozpowszechnione szkodliwe oprogramowanie rozprzestrzeniane za pośrednictwem urządzeń USB obejmuje wirusa Sality, który został po raz pierwszy wykryty w 2003 r., ale od tego czasu uległ znacznej modyfikacji; oraz robaka Dinihou, który automatycznie kopiuje się na urządzenie USB, tworząc szkodliwe skróty (LNK), które uruchamiają robaka, jak tylko zostaną otworzone przez nową ofiarę.
Urządzenia USB są również wykorzystywane do rozprzestrzeniania oprogramowania służącego do kopania kryptowaluty. Praktyka ta, choć raczej mało powszechna, jest wystarczająco skuteczna, aby osoby atakujące nadal wykorzystywały ją jako metodę rozprzestrzeniania. Według danych pochodzących z systemu KSN, popularną szkodliwą kryptokoparką wykrywaną w katalogach głównych dysku jest Trojan.Win32.Miner.ays/Trojan.Win64.Miner.all, znany od 2014 roku.
Szkodliwe oprogramowanie z tej rodziny wykorzystuje bez wiedzy użytkownika wydajność procesora zainfekowanego komputera w celu generowania kryptowaluty. Trojan pobiera na komputer PC aplikację do wydobywania kryptowaluty, następnie instaluje ją i uruchamia ukradkowo oraz pobiera parametry, które umożliwiają jej wysyłanie wyników na serwer zewnętrzny kontrolowany przez osobę atakującą.
Z danych firmy Kaspersky Lab wynika, że niektóre infekcje wykryte w 2018 r. utrzymywały się przez wiele lat i miały prawdopodobnie duży negatywny wpływ na moc procesora urządzenia ofiary.
Dane dot. wykrycia szkodliwej kryptokoparki Trojan.Win32.Miner.ays w wersji 32-bit:
Rok |
Dane dot. wykrywania Trojan.Win32.Miner.ays |
Liczba unikatowych |
2017 |
778 620 |
236 000 |
2018 (dane szacunkowe |
600 698 |
196 866 |
Pomiędzy pierwszą połową 2017 r. (136 954 unikatowych użytkowników) a pierwszą połową 2018 r. (93 433 unikatowych użytkowników) liczba osób zainfekowanych 32-bitową wersją tej kryptokoparki zmniejszyła się o 28,13 punktu procentowego.
Druga wersja, Trojan.Win64.Miner.all, odnotowała spodziewany gwałtowny wzrost w ciągu pierwszego roku od wykrycia, po czym liczba zaatakowanych użytkowników zwiększała się w stałym tempie o około jedną szóstą rocznie. Ten niewielki ale stały współczynnik wzrostu jest również widoczny, jeśli porównamy liczbę użytkowników zaatakowanych przy użyciu tej szkodliwej kryptokoparki z łączną liczbą użytkowników stanowiących cel zagrożeń rozprzestrzenianych za pośrednictwem nośników wymiennych. Wynika z tego, że niemal jeden na 10 użytkowników zaatakowanych przy użyciu zagrożenia rozprzestrzenianego za pośrednictwem nośników wymiennych w 2018 r. będzie celem tej szkodliwej kryptokoparki, co stanowi około dwukrotny wzrost w ciągu dwóch lat.
Wyniki te sugerują, że rozprzestrzenianie za pośrednictwem nośników wymiennych stanowi skuteczną metodę w przypadku tego zagrożenia.
Dane dot. wykrywania szkodliwej kryptokoparki Trojan.Win64.Miner.all przedstawiają się następująco:
Rok |
Dane dot. wykrywania |
Liczba unikatowych użytkowników |
Zmiana w stosunku rocznym |
Liczba unikatowych użytkowników |
2016 |
4 211 246 |
245 702 |
+70,15% |
4,2% |
2017 |
4 214 785 |
301 178 |
+18,42% |
6,7% |
2018 (dane szacunkowe na podstawie I połowy roku) |
4 209 958 |
362 242 |
+16,42% |
9,2% |
W sierpniu 2018 r. badacze z Kaspersky Lab informowali o wyrafinowanej cyberoperacji o kryptonimie Dark Tequila, którą przeprowadzano od co najmniej pięciu lat w celu kradzieży danych uwierzytelniających transakcje bankowe jak również danych osobowych i korporacyjnych użytkowników w Meksyku.
Według badaczy z Kaspersky Lab, ten szkodliwy kod rozprzestrzenia się za pośrednictwem zainfekowanych urządzeń USB oraz spersonalizowanych wiadomości phishingowych i zawiera funkcje pozwalające uniknąć wykrycia. Uważa się, że ugrupowanie cyberprzestępcze odpowiedzialne za Dark Tequila jest hiszpańskojęzyczne i pochodzi z Ameryki Łacińskiej.
Rynki wschodzące wydają się być najbardziej podatne na infekcję za pośrednictwem nośników wymiennych.
Roczne statystyki dla 2017 r. pokazują, że w wielu takich krajach około dwie trzecie użytkowników doświadczyło „lokalnego” incydentu, który obejmuje infekcje szkodliwym oprogramowaniem katalogu głównego dysku za pośrednictwem nośnika wymiennego. Dla porównania, w krajach rozwiniętych dotyczy to jednej osoby na cztery. Liczby te utrzymały się do 2018 r.
W przypadku exploita LNK rozprzestrzenianego za pośrednictwem nośników wymiennych, wśród najbardziej poszkodowanych państw w 2018 r. znalazł się Wietnam (18,8% użytkowników), Algieria (11,2%) oraz Indie (10,9%). Infekcje odnotowano również w innych państwach Azji, Rosji oraz Brazylii. Kilka ataków wykryto w państwach europejskich (Hiszpania, Niemcy, Francja, Wielka Brytania oraz Włochy), Stanach Zjednoczonych oraz Japonii.
Udział użytkowników, którzy ucierpieli w wyniku exploita wykorzystującego lukę CVE-2010-2568 za pośrednictwem nośników wymiennych, 2018 r. Źródło: KSN (uwzględnione zostały jedynie państwa, w których liczba klientów firmy Kaspersky Lab wynosi ponad 10 000)
Szerszy zasięg wykazuje szkodliwa kryptokoparka. Przypadki wykrycia Trojan.Win32.Miner.ays/Trojan.Win.64.Miner.all zostały odnotowane głównie w Indiach (23,7%), Rosji (18,45% – prawdopodobnie wpływ miała tu duża liczba klientów) oraz Kazachstanie (14,38%). Infekcje wykryto również w innych częściach Azji i Afryki, a kilka ataków w niektórych krajach europejskich (Wielka Brytania, Holandia, Szwajcaria, Hiszpania, Belgia, Austria, Włochy, Dania oraz Szwecja), Stanach Zjednoczonych, Kanadzie oraz Japonii.
Udział użytkowników, którzy zostali zainfekowani kryptokoparką bitcoina za pośrednictwem nośników wymiennych, 2018 r. Źródło: KSN (uwzględniono wyłącznie kraje, w których liczba klientów firmy Kaspersky Lab wynosi ponad 10 000)
Zakończenie i porady
Głównym celem tego krótkiego artykułu jest zwrócenie uwagi na zagrożenie, które może być lekceważone przez klientów oraz firmy.
Urządzenia USB mają wiele zalet: są niewielkie i poręczne, a do tego mogą być wykorzystywane do promowania marki. Jednak same urządzenia, przechowywane na nich dane oraz komputery, w które są wpinane, są potencjalnie narażone na cyberzagrożenia w przypadku pozostawienia ich bez ochrony.
Na szczęście, istnieją skuteczne środki, jakie mogą podjąć klienci oraz organizacje, aby wykorzystywanie urządzeń USB było bezpieczne.
Porady dla wszystkich użytkowników urządzeń USB:
Dodatkowe porady dla firm:
Analizy
Blog