Известные специалисты исследователи Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) в августе месяце 2014 сообщили о «фундаментальной уязвимости устройств USB». В октябре месяце 2014 года специалисты опубликовали код программы на GitHub. По факту, даный подход даёт возможность захвата контроля над множеством устройств, имеющих USB порт. Атакующим может быть эмулирована любая периферия, чаще выбираются клавиатуры. За последнее время, уже многие пользователи привыкли, доверять любым USB устройствам не стоит.
Сейчас нестоит вставлять в компьютер, найденный флеш накопитель, это разумно. Сама идея создания USB с BadUSB возникла давно, так как кабель вызовет меньше подозрения, чем периферия. Успешных попыток, правда, до настоящего времени не было.
Специалисты RFID, SYON и Кевин Митник — предложивший эту идею, объединились для разработки. Сам Кевин был вдохновлён исследователем из Твиттера под ником MG. В начале 2018 он продемонстирировал в блоге атаку через USB кабель. Но связаться с специалистом не удалось. Кевин привлёк специалистов, работа была выполнена и весьма успешно. USBHarpoon сработает на разблокированной машине. После того как кабель будет подключён пользователем, будут выполнены команды, загрузится и запустится пейлоанд. В ОС Windows это происходит через RUN, в случае с macOS Linux понадобится терминал. Обычно активность видна пользователю, но при атаке её могут скрыть. Атаку можно осуществить при отсутствии владельца.
HID attacks via USB drives have become too suspicious. What about embedding the attack inside a USB cable?
Just a quick test for a few things I'm hoping to make over the next month. pic.twitter.com/3iNjLqXloW
— MG (@_MG_) January 1, 2018
Автор первого, оригинального исследования, Карстен Нол, напоминает, проблема, по сути, не устранена и решения нет и сейчас. Защиты от атак нет. Есть решение с использованием USB презерватива — такого переходника защищающего ваш компьютер от взлома. Но тот же MG дал понять, что решение это так же не актуально.
#3 — BadUSB Cables wouldn't be complete without BadUSB Condoms.
Tempted to get a run of these made for the vendor area at the next security con. pic.twitter.com/Iq8HHSV7qG
— MG (@_MG_) January 13, 2018