Zagrożenia rozprzestrzeniane za pośrednictwem urządzeń USB – od szkodliwego oprogramowania po kryptokoparki

Wprowadzenie

W 2016 r. badacze z University of Illinois zostawili 297 nieoznaczonych nośników pamięci USB na terenie kampusu uniwersyteckiego, żeby przekonać się, co z tego wyniknie. 98% podrzuconych urządzeń zostało zabranych przez personel i studentów, z czego co najmniej połowa została wpięta do komputerów w celu przejrzenia zawartości. Dość zachęcający wynik dla hakera próbującego zainfekować sieć komputerową.

Nośniki pamięci USB istnieją już od prawie 20 lat. Dzięki nim możemy łatwo i wygodnie przechowywać i przenosić pliki cyfrowe pomiędzy komputerami, które nie są bezpośrednio połączone ze sobą ani z Internetem. Niestety mogą one również stanowić narzędzie wykorzystywane przez ugrupowania cyberprzestępcze. W 2010 r. miał miejsce głośny incydent związany z robakiem Stuxnet, w którym wykorzystano nośniki pamięci USB w celu wstrzyknięcia szkodliwego oprogramowania do sieci irańskiej elektrowni nuklearnej.    

Obecnie w celu przechowywania i przenoszenia plików wykorzystuje się głównie usługi w chmurze, takie jak Dropbox. Istnieje również większa świadomość zagrożeń związanych z nośnikami USB. W efekcie są one coraz rzadziej wykorzystywane jako podstawowe narzędzie biznesowe. Mimo to co roku produkowane i sprzedawane są miliony nośników USB. Wiele z nich jest używanych w  domu lub w kampaniach biznesowych oraz marketingowych, gdzie są rozdawane jako upominki dla uczestników targów.      

Nośniki USB nadal znajdują się na celowniku cyberprzestępców. Dane Kaspersky Lab dotyczące 2017 r. pokazują, że mniej więcej co roku około jeden na czterech użytkowników na całym świecie stanowi cel „lokalnego” cyberincydentu. Są to ataki wykryte bezpośrednio na komputerze użytkownika i obejmują infekcje przy użyciu nośników wymiennych takich jak urządzenia USB.

Ten krótki raport stanowi przegląd obecnego krajobrazu cyberzagrożeń dla nośników wymiennych, w szczególności urządzeń USB. Przedstawia również porady i zalecenia dotyczące ochrony tych niewielkich urządzeń oraz przechowywanych na nich danych. 

Metodologia i główne ustalenia

Przegląd opiera się na wykryciach w katalogu głównym dysku komputerów użytkowników dokonanych przez technologie ochrony plików firmy Kaspersky Lab z zastosowaniem określonego filtru skanowania oraz innych metod. Dotyczy jedynie ataków przy użyciu szkodliwego oprogramowania bez uwzględniania wykryć potencjalnie niebezpiecznych lub niechcianych programów takich jak adware czy niebezpieczne narzędzia (risk tool) (programy, które, choć same w sobie nie są szkodliwe, są wykorzystywane do ukrywania plików lub zamykania aplikacji itd., które mogą być użyte do szkodliwych celów). Dane dot. wykrywania są przekazywane dobrowolnie przez użytkowników Kaspersky Security Network (KSN).

Najważniejsze wyniki

• Urządzenia USB oraz inne nośniki wymienne są wykorzystywane do rozprzestrzeniania oprogramowania do wydobywania kryptowaluty (co najmniej od 2015 r.). Urządzenia niektórych ofiar były zainfekowane od wielu lat.
• Współczynnik wykrywania najpopularniejszej szkodliwej kryptokoparki bitcoina, Trojan.Win64.Miner.all, zwiększa się z roku na rok o około jedną szóstą.
• Celem tej szkodliwej kryptokoparki był jeden na 10 użytkowników, których nośniki wymienne zostały zainfekowane w 2018 r. (około 9,22% użytkowników - wzrost z 6,7% w 2017 r. oraz 4,2% w 2016 r.). 
• Inne szkodliwe programy rozprzestrzeniane za pośrednictwem nośników wymiennych /urządzeń USB obejmują rodzinę trojanów LNK Windows, która zalicza się do trzech głównych zagrożeń dla urządzeń USB wykrywanych od co najmniej 2016 r.
• Wykryty w 2010 r. exploit Stuxnet wykorzystujący lukę CVE-2010-2568 pozostaje jednym z 10 najbardziej rozpowszechnionych exploitów rozprzestrzenianych za pośrednictwem nośników wymiennych. 
• Najbardziej narażone na infekcje rozprzestrzeniane za pośrednictwem nośników wymiennych są rynki wschodzące, w szczególności Azja, Afryka oraz Ameryka Południowa, jednak pojedyncze ataki wykryto również w państwach Europy i Ameryki Północnej.
• Dark Tequila, złożone szkodliwe oprogramowanie bankowe wykryte  21 sierpnia 2018 r., atakuje użytkowników indywidualnych oraz korporacyjnych w Meksyku od co najmniej 2013 r., a infekcja jest rozprzestrzeniana głównie za pośrednictwem urządzeń USB.

Ewoluujący krajobraz cyberzagrożeń dla urządzeń USB

Infekcje przy użyciu nośników wymiennych są określane jako zagrożenia lokalne, czyli takie, które są wykrywane bezpośrednio na komputerze użytkownika, np. podczas skanowania bezpieczeństwa przeprowadzanego zgodnie z harmonogramem, podczas instalacji lub inicjowanego przez użytkownika. Zagrożenia lokalne różnią się od tych, które atakują komputery za pośrednictwem Internetu (zagrożenia WWW), które są znacznie bardziej rozpowszechnione. Aby wyodrębnić dane dotyczące szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem nośników wymiennych takich jak urządzenia USB, wzięliśmy pod uwagę jedynie szkodniki wykryte w katalogu głównym dysku zainfekowanych komputerów – co wyraźnie wskazuje na nośniki wymienne jako źródło infekcji. 

Z danych tych wynika, że liczba wykrytych zagrożeń na nośnikach wymiennych (w katalogu głównym dysku) odnotowuje stały spadek od 2014 r., jednak jest on już wolniejszy. W 2014 r. stosunek liczby użytkowników, którzy stanowili cel zagrożenia rozprzestrzenianego za pośrednictwem nośników wymiennych, do łącznej liczby wykrytych tego typu zagrożeń stanowił 1:42, podczas gdy w 2017 r. zmniejszył się o około połowę do 1:25. Szacuje się, że w 2018 r. będzie wynosił 1:22.

Liczby te wydają się mało imponujące w porównaniu z zagrożeniami WWW: w 2017 r. ochrona antywirusowa plików firmy Kaspersky Lab wykryła 113,8 miliona potencjalnych zagrożeń dla nośników wymiennych, podczas gdy ochrona WWW odparła blisko 1,2 miliarda ataków przeprowadzonych z zasobów online. Wobec takich statystyk nietrudno przeoczyć wciąż aktualne zagrożenia, jakie mogą stwarzać nośniki wymienne, chociaż – jak przewiduje się - około cztery miliony użytkowników na świecie zostaną zainfekowane w ten sposób w 2018 roku.  

*Łączna liczba (w milionach) szkodliwych programów wykrytych w katalogu głównym dysku komputerów użytkowników, co wyraźnie wskazuje na nośniki wymienne jako źródło infekcji, 2013 – 2018. Źródło: KSN

*Liczba unikatowych użytkowników (w milionach), na komputerach których wykryto szkodliwe oprogramowanie  w katalogu głównym dysku, co wyraźnie wskazuje na nośniki wymienne jako źródło infekcji, 2013 – 2018. Źródło: KSN    

USB jako narzędzie wykorzystywane przez zaawansowanych cyberprzestępców

Urządzenia USB są popularne wśród osób atakujących sieci komputerowe, które nie są połączone z Internetem, np. sieci obsługujące krytyczną infrastrukturę krajową. Najbardziej znanym przykładem jest tu prawdopodobnie kampania Stuxnet. W 2009 i 2010 r. robak Stuxnet zaatakował obiekty jądrowe Iranu w celu zakłócenia ich operacji.

Urządzenia USB zostały użyte w celu wstrzyknięcia szkodliwego oprogramowania do fizycznie odizolowanych sieci tych obiektów. Zawierały, między innymi, exploita wykorzystującego lukę w Windows LNK (CVE-2010-2568), która umożliwiała zdalne wykonanie kodu. Inne zaawansowane ugrupowania cyberprzestępcze, w tym Equation Group, Flame, Regin oraz HackingTeam, zintegrowały exploity dla tej luki w nośnikach wymiennych wykorzystanych do ataków.  

Należy wspomnieć, że struktura większości urządzeń USB pozwala na ich konwertowanie w celu zapewnienia ukrytych przedziałów pamięci, np. w celu usunięcia skradzionych danych.  Wykryto, że zestaw narzędzi ProjectSauron 2016 zawierał specjalny moduł, który miał na celu przenoszenie danych z fizycznie odizolowanych sieci do systemów połączonych z Internetem. Urządzenia USB zostały tak sformatowane, aby mogły zmieniać rozmiar partycji na dysku USB, rezerwując pewną ilość ukrytej przestrzeni (kilkaset megabajtów) na końcu dysku do wykorzystania w szkodliwych celach.     

CVE-2010-2568 – luka, która przetrwała kampanię Stuxnet

Microsoft załatał ostatnią podatną na ataki ścieżkę kodu LNK w marcu 2015 r. Jednak w 2016 r. aż jeden na czterech użytkowników produktów Kaspersky Lab, którzy stanowili cel dowolnego exploita w jakimkolwiek ataku, w tym za pośrednictwem zagrożeń WWW, miał do czynienia z exploitem wykorzystującym tę lukę. Exploit dla luki CVE-2010-2568 nadal występuje w szkodliwym oprogramowaniu rozprzestrzenianym za pośrednictwem urządzeń USB oraz innych nośników wymiennych: chociaż liczba wykrytych szkodników i ofiar zmniejsza się w szybkim tempie, exploit ten jest nadal zaliczany do 10 największych zagrożeń wykrywanych w katalogu głównym dysku przez system KSN.         

Łączna liczba (w milionach) wykryć w katalogu głównym dysku (nośniki wymienne) exploita wykorzystującego lukę CVE-2010-2568, 2013 – 2018. Źródło: KSN

Użytkownicy, na których komputerach wykryto w katalogu głównym dysku exploita wykorzystującego lukę CVE-2010-2568, 2013 – 2018. Źródło: KSN

Podczas gdy liczba wykrytych exploitów wskazuje na ilość szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem nośników wymiennych takich jak urządzenia USB, w dalszej części przedstawiono rodzaj rozprzestrzenianego w ten sposób szkodliwego oprogramowania.

Szkodliwe oprogramowanie dostarczane za pośrednictwem nośników wymiennych

Jeśli chodzi o najbardziej rozpowszechnione szkodliwe oprogramowanie rozprzestrzeniane za pośrednictwem nośników wymiennych - zasadniczo nic nie zmieniło się od co najmniej 2016 r. Na przykład, rodzina szkodliwego oprogramowania WinLNK – trojany zawierające odsyłacze umożliwiające pobranie szkodliwych plików lub ścieżki w celu uruchomienia szkodliwego pliku wykonywalnego - nadal znajduje się w trójce najbardziej rozpowszechnionych zagrożeń rozprzestrzenianych za pośrednictwem nośników wymiennych. Szkodnik ten jest wykorzystywany przez osoby atakujące w celu niszczenia, blokowania, modyfikowania lub kopiowania danych lub zakłócania działania urządzenia bądź jego sieci. Trojan WinLNK Runner, który stanowił najczęściej wykrywane zagrożenie dla urządzeń USB w 2017 r., jest wykorzystywany w robakach w celu uruchamiania plików wykonywalnych.     

W 2017 r. wykryto 22,7 miliona prób infekcji szkodnikiem WinLNK.Agent, które dotknęły prawie 900 000 użytkowników. Szacuje się, że w 2018 r. liczba ataków wyniesie około 23 miliony, uderzając w ponad 700 000 użytkowników. To stanowi 2% wzrost liczby wykrytych ataków oraz 20% spadek liczby zaatakowanych użytkowników w stosunku rocznym.   

Jeżeli chodzi o trojana WinLNK Runner, spodziewamy się znacznie większego spadku liczby wykrytych infekcji – z 2,75 miliona w 2017 r. do 1 miliona w 2018 r. (61%). Z kolei liczba zaatakowanych użytkowników zmniejszy się o 51% (z około 920 000 w 2017 r. do ponad 450 000 w 2018 r.).

Inne najbardziej rozpowszechnione szkodliwe oprogramowanie rozprzestrzeniane za pośrednictwem urządzeń USB obejmuje wirusa Sality, który został po raz pierwszy wykryty w 2003 r., ale od tego czasu uległ znacznej modyfikacji; oraz robaka Dinihou, który automatycznie kopiuje się na urządzenie USB, tworząc szkodliwe skróty (LNK), które uruchamiają robaka, jak tylko zostaną otworzone przez nową ofiarę.

Kryptokoparki – rzadkie ale wytrwałe

Urządzenia USB są również wykorzystywane do rozprzestrzeniania oprogramowania służącego do kopania kryptowaluty. Praktyka ta, choć raczej mało powszechna, jest wystarczająco skuteczna, aby osoby atakujące nadal wykorzystywały ją jako metodę rozprzestrzeniania. Według danych pochodzących z systemu KSN, popularną szkodliwą kryptokoparką wykrywaną w katalogach głównych dysku jest Trojan.Win32.Miner.ays/Trojan.Win64.Miner.all, znany od 2014 roku.     

Szkodliwe oprogramowanie z tej rodziny wykorzystuje bez wiedzy użytkownika wydajność procesora zainfekowanego komputera w celu generowania kryptowaluty. Trojan pobiera na komputer PC aplikację do wydobywania kryptowaluty, następnie instaluje ją i uruchamia ukradkowo oraz pobiera parametry, które umożliwiają jej wysyłanie wyników na serwer zewnętrzny kontrolowany przez osobę atakującą.  

Z danych firmy Kaspersky Lab wynika, że niektóre infekcje wykryte w 2018 r. utrzymywały się przez wiele lat i miały prawdopodobnie duży negatywny wpływ na moc procesora urządzenia ofiary. 

Dane dot. wykrycia szkodliwej kryptokoparki Trojan.Win32.Miner.ays w wersji 32-bit:

Pomiędzy pierwszą połową 2017 r. (136 954 unikatowych użytkowników) a pierwszą połową 2018 r. (93 433 unikatowych użytkowników) liczba osób zainfekowanych 32-bitową wersją tej kryptokoparki zmniejszyła się o 28,13 punktu procentowego.

Druga wersja, Trojan.Win64.Miner.all, odnotowała spodziewany gwałtowny wzrost w ciągu pierwszego roku od wykrycia, po czym liczba zaatakowanych użytkowników zwiększała się w stałym tempie o około jedną szóstą rocznie. Ten niewielki ale stały współczynnik wzrostu jest również widoczny, jeśli porównamy liczbę użytkowników zaatakowanych przy użyciu tej szkodliwej kryptokoparki z łączną liczbą użytkowników stanowiących cel zagrożeń rozprzestrzenianych za pośrednictwem nośników wymiennych. Wynika z tego, że niemal jeden na 10 użytkowników zaatakowanych przy użyciu zagrożenia rozprzestrzenianego za pośrednictwem nośników wymiennych w 2018 r. będzie celem tej szkodliwej kryptokoparki, co stanowi około dwukrotny wzrost w ciągu dwóch lat.         

Wyniki te sugerują, że rozprzestrzenianie za pośrednictwem nośników wymiennych stanowi skuteczną metodę w przypadku tego zagrożenia.

Dane dot. wykrywania szkodliwej kryptokoparki Trojan.Win64.Miner.all przedstawiają się następująco:

Dark Tequila – zaawansowane szkodliwe oprogramowanie bankowe

W sierpniu 2018 r. badacze z Kaspersky Lab informowali o wyrafinowanej cyberoperacji o kryptonimie Dark Tequila, którą przeprowadzano od co najmniej pięciu lat w celu kradzieży danych uwierzytelniających transakcje bankowe jak również danych osobowych i korporacyjnych użytkowników w Meksyku.

Według badaczy z Kaspersky Lab, ten szkodliwy kod rozprzestrzenia się za pośrednictwem zainfekowanych urządzeń USB oraz spersonalizowanych wiadomości phishingowych i zawiera funkcje pozwalające uniknąć wykrycia. Uważa się, że ugrupowanie cyberprzestępcze odpowiedzialne za Dark Tequila jest hiszpańskojęzyczne i pochodzi z Ameryki Łacińskiej.  

Rozkład geograficzny celów

Rynki wschodzące wydają się być najbardziej podatne na infekcję za pośrednictwem nośników wymiennych.

Roczne statystyki dla 2017 r. pokazują, że w wielu takich krajach około dwie trzecie użytkowników doświadczyło „lokalnego” incydentu, który obejmuje infekcje szkodliwym oprogramowaniem katalogu głównego dysku za pośrednictwem nośnika wymiennego. Dla porównania, w krajach rozwiniętych dotyczy to jednej osoby na cztery. Liczby te utrzymały się do 2018 r.

W przypadku exploita LNK rozprzestrzenianego za pośrednictwem nośników wymiennych, wśród najbardziej poszkodowanych państw w 2018 r. znalazł się Wietnam (18,8% użytkowników), Algieria (11,2%) oraz Indie (10,9%). Infekcje odnotowano również w innych państwach Azji, Rosji oraz Brazylii. Kilka ataków wykryto w państwach europejskich (Hiszpania, Niemcy, Francja, Wielka Brytania oraz Włochy), Stanach Zjednoczonych oraz Japonii. 

Udział użytkowników, którzy ucierpieli w wyniku exploita wykorzystującego lukę CVE-2010-2568 za pośrednictwem nośników wymiennych, 2018 r. Źródło: KSN (uwzględnione zostały jedynie państwa, w których liczba klientów firmy Kaspersky Lab wynosi ponad 10 000)

Szerszy zasięg wykazuje szkodliwa kryptokoparka. Przypadki wykrycia Trojan.Win32.Miner.ays/Trojan.Win.64.Miner.all zostały odnotowane głównie w Indiach (23,7%), Rosji (18,45% – prawdopodobnie wpływ miała tu duża liczba klientów) oraz Kazachstanie (14,38%). Infekcje wykryto również w innych częściach Azji i Afryki, a kilka ataków w niektórych krajach europejskich (Wielka Brytania, Holandia, Szwajcaria, Hiszpania, Belgia, Austria, Włochy, Dania oraz Szwecja), Stanach Zjednoczonych, Kanadzie oraz Japonii.    

Udział użytkowników, którzy zostali zainfekowani kryptokoparką bitcoina za pośrednictwem nośników wymiennych, 2018 r. Źródło: KSN (uwzględniono wyłącznie kraje, w których liczba klientów firmy Kaspersky Lab wynosi ponad 10 000)

Zakończenie i porady

Głównym celem tego krótkiego artykułu jest zwrócenie uwagi na zagrożenie, które może być lekceważone przez klientów oraz firmy.

Urządzenia USB mają wiele zalet: są niewielkie i poręczne, a do tego mogą być wykorzystywane do promowania marki. Jednak same urządzenia, przechowywane na nich dane oraz komputery, w które są wpinane, są potencjalnie narażone na cyberzagrożenia w przypadku pozostawienia ich bez ochrony. 

Na szczęście, istnieją skuteczne środki, jakie mogą podjąć klienci oraz organizacje, aby wykorzystywanie urządzeń USB było bezpieczne.

Porady dla wszystkich użytkowników urządzeń USB:

• Zwracaj uwagę na urządzenie, które podłączasz do swojego komputera - zastanów się, skąd pochodzi.
• Zainwestuj w szyfrowane urządzenia USB marki, która jest godna zaufania - w ten sposób będziesz mieć pewność, że Twoje dane są bezpieczne, nawet jeśli stracisz urządzenie.
• Dopilnuj, aby wszystkie dane przechowywane na urządzeniu USB były zaszyfrowane.
• Stosuj rozwiązanie bezpieczeństwa, które sprawdza wszystkie nośniki wymienne pod kątem szkodliwego oprogramowania, zanim zostaną podłączone do systemu.

Dodatkowe porady dla firm:

• Zarządzaj użytkowaniem urządzeń USB: określ, które nośniki mogą być podłączane, przez kogo i w jakim celu.
• Przeszkól pracowników w zakresie bezpiecznych praktyk korzystania z urządzeń USB - szczególnie gdy przenoszą na nich dane pomiędzy komputerem domowym a urządzeniem wykorzystywanym w pracy.
• Nie zostawiaj urządzeń USB na widoku.