MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
USBee - mã độc đánh cắp thông tin qua ổ đĩa usb
Năm 2013, một tài liệu do Edward Snowden tiết lộ cho thấy, một thiết bị nhớ USB “đặc chế” có thể được dùng để bí mật chuyển dữ liệu ra khỏi máy tính - ngay cả khi chúng không được nối với Internet hay bất kỳ mạng máy tính nào khác. Đến nay, các nhà nghiên cứu đã phát triển được phần mềm độc hại tiên tiến hơn, biến bất kỳ thiết bị USB nào thành phương tiện chuyển dữ liệu ra khỏi những chiếc máy tính không nối mạng.
Mã độc này được đặt tên là USBee, vì nó hoạt động giống như một con ong bay trong không trung, truyền dữ liệu từ máy này sang máy khác. Về nhiều phương diện, đây là một sự cải tiến vượt trội so với CottonMouth - chiếc USB gián điệp của NSA. Nếu như công cụ của NSA phải được gắn thêm một phần cứng đặc biệt và phải được cắm vào chiếc máy tính cần đánh cắp thông tin thì USBee lại có thể phát hiện được mọi thiết bị USB có sẵn trong cơ sở mục tiêu và biến chúng thành thiết bị truyền tin.
Các nhà nghiên cứu thuộc trường đại học Ben-Gurion của Israel mới công bố rằng: “Chúng tôi giới thiệu một phương pháp chỉ sử dụng phần mềm để chuyển dữ liệu trong khoảng cách gần, bằng cách dùng các tín hiệu điện từ của một thiết bị USB. Không giống như các phương pháp khác, phương pháp của chúng tôi không đòi hỏi bất kỳ thiết bị truyền tin nào, vì nó dùng chính kênh dữ liệu nội tại của USB.”
Phần mềm đó hoạt động với mọi thiết bị nhớ tương thích với đặc tả USB 2.0, trừ một vài dòng máy ảnh nhất định. USBee truyền dữ liệu với tốc độ khoảng 80 byte/giây, đủ nhanh để chuyển một khóa mã hóa 4096 bit trong khoảng thời gian chưa đến 10 giây. USBee có khả năng truyền dữ liệu trong khoảng 2,7 mét (9 feet) với ổ đĩa USB và lên tới 7,8 mét (26 feet) khi thiết bị USB gắn một đoạn cáp ngắn – có thể dùng như một ăng ten. Các tín hiệu đó có thể đọc bởi một đầu thu đặt trong phạm vi gần. Do đó, một máy tính bị nhiễm độc có thể bị lộ thông tin nhạy cảm ngay cả khi nó không có kết nối mạng nào, không có kết nối loa ngoài và các kết nối Wifi, Bluetooth đều tắt.
Ba năm trước đây, chính nhóm nghiên cứu này đã thực hiện một thử nghiệm cho phép truyền dữ liệu ra khỏi máy tính không nối mạng nhờ tiếng ồn của đĩa cứng. Các kiểu tấn công tương tự mà nhóm nghiên cứu đã thực hiện bao gồm AirHopper - biến video card của máy tính thành thiết bị truyền tín hiệu FM; BitWhisper - dựa vào trao đổi nhiệt để thực hiện những cú “ping bằng nhiệt”; GSMem - dựa vào tần số không dây; Fansmitter - dùng âm thanh của quạt máy tính để truyền dữ lieu.
Năm 2013, các nhà nghiên cứu của ở Viện Truyền thông, Xử lý thông tin và Ergonomics Fraunhofer (Đức) đã tìm ra kỹ thuật dùng sóng âm không nghe thấy được, để truyền các lực gõ phím mà người dùng gõ cùng các thông tin nhạy cảm khác ra khỏi những máy tính không nối mạng. Dù các kỹ thuật gián điệp này khả thi trên lý thuyết nhưng khả năng ứng dụng thực tế rất thấp. Các máy tính chứa thông tin cần do thám phải bị nhiễm mã độc và với những máy tính không kết nối với Internet thì khả năng này rất thấp. Muốn vậy cần có sự “tiếp tay” của một người ở bên trong tổ chức – những người hoàn toàn có thể đánh cắp thông tin bằng những biện pháp đơn giản hơn. Dĩ nhiên trong một số trường hợp nhất định, những kỹ thuật truyền dữ liệu tinh vi trên có thể là công cụ hữu ích để vượt qua các biện pháp bảo vệ nghiêm ngặt.
USBee hoạt động bằng cách gửi cho thiết bị USB một chuỗi các giá trị “0”, khiến các USB tạo ra những tín hiệu có thể đọc được ở tần số 240Mhz-480 Mhz. Phần mềm không đòi hỏi quyền đặc biệt nào trên các thiết bị USB. Thiết bị thu tín hiệu chỉ cần phần cứng giá trị khoảng 30 đô la.
Sự gia tăng các nghiên cứu về kỹ thuật truyền tín hiệu ra ngoài những máy tính không nối mạng cho thấy cần phải có những chính sách đặc biệt, chặt chẽ hơn những quy định bảo mật vật lý thông thường như ngắt kết nối mạng, để bảo vệ những máy tính chứa thông tin có độ quan trọng cao. Những máy tính đó phải được đặt tại những khu vực cấm tất cả mọi thiết bị điện tử không đăng ký, sử dụng các hệ thống ngăn chặn xâm nhập với tính năng phát hiện các hành vi lạ, và sử dụng thiết bị để ngăn chặn các tín hiệu điện từ truyền ra ngoài. Các công cụ như USBee được chuyên biệt hóa cao và dùng cho điệp viên của các chính phủ hoặc các tập đoàn lớn. Truyền thông đại chúng đã cho biết từ cách đây 3 năm, NSA đã sử dụng USB gián điệp CottonMouth, USBee có thể đang được các điệp viên sử dụng vì có giá thành khá thấp và có khả năng làm việc với phần lớn các thiết bị lưu trữ USB.
Hoàng Anh lược dịch (theo Ars Technica
Mã độc này được đặt tên là USBee, vì nó hoạt động giống như một con ong bay trong không trung, truyền dữ liệu từ máy này sang máy khác. Về nhiều phương diện, đây là một sự cải tiến vượt trội so với CottonMouth - chiếc USB gián điệp của NSA. Nếu như công cụ của NSA phải được gắn thêm một phần cứng đặc biệt và phải được cắm vào chiếc máy tính cần đánh cắp thông tin thì USBee lại có thể phát hiện được mọi thiết bị USB có sẵn trong cơ sở mục tiêu và biến chúng thành thiết bị truyền tin.
Các nhà nghiên cứu thuộc trường đại học Ben-Gurion của Israel mới công bố rằng: “Chúng tôi giới thiệu một phương pháp chỉ sử dụng phần mềm để chuyển dữ liệu trong khoảng cách gần, bằng cách dùng các tín hiệu điện từ của một thiết bị USB. Không giống như các phương pháp khác, phương pháp của chúng tôi không đòi hỏi bất kỳ thiết bị truyền tin nào, vì nó dùng chính kênh dữ liệu nội tại của USB.”
Phần mềm đó hoạt động với mọi thiết bị nhớ tương thích với đặc tả USB 2.0, trừ một vài dòng máy ảnh nhất định. USBee truyền dữ liệu với tốc độ khoảng 80 byte/giây, đủ nhanh để chuyển một khóa mã hóa 4096 bit trong khoảng thời gian chưa đến 10 giây. USBee có khả năng truyền dữ liệu trong khoảng 2,7 mét (9 feet) với ổ đĩa USB và lên tới 7,8 mét (26 feet) khi thiết bị USB gắn một đoạn cáp ngắn – có thể dùng như một ăng ten. Các tín hiệu đó có thể đọc bởi một đầu thu đặt trong phạm vi gần. Do đó, một máy tính bị nhiễm độc có thể bị lộ thông tin nhạy cảm ngay cả khi nó không có kết nối mạng nào, không có kết nối loa ngoài và các kết nối Wifi, Bluetooth đều tắt.
Ba năm trước đây, chính nhóm nghiên cứu này đã thực hiện một thử nghiệm cho phép truyền dữ liệu ra khỏi máy tính không nối mạng nhờ tiếng ồn của đĩa cứng. Các kiểu tấn công tương tự mà nhóm nghiên cứu đã thực hiện bao gồm AirHopper - biến video card của máy tính thành thiết bị truyền tín hiệu FM; BitWhisper - dựa vào trao đổi nhiệt để thực hiện những cú “ping bằng nhiệt”; GSMem - dựa vào tần số không dây; Fansmitter - dùng âm thanh của quạt máy tính để truyền dữ lieu.
Năm 2013, các nhà nghiên cứu của ở Viện Truyền thông, Xử lý thông tin và Ergonomics Fraunhofer (Đức) đã tìm ra kỹ thuật dùng sóng âm không nghe thấy được, để truyền các lực gõ phím mà người dùng gõ cùng các thông tin nhạy cảm khác ra khỏi những máy tính không nối mạng. Dù các kỹ thuật gián điệp này khả thi trên lý thuyết nhưng khả năng ứng dụng thực tế rất thấp. Các máy tính chứa thông tin cần do thám phải bị nhiễm mã độc và với những máy tính không kết nối với Internet thì khả năng này rất thấp. Muốn vậy cần có sự “tiếp tay” của một người ở bên trong tổ chức – những người hoàn toàn có thể đánh cắp thông tin bằng những biện pháp đơn giản hơn. Dĩ nhiên trong một số trường hợp nhất định, những kỹ thuật truyền dữ liệu tinh vi trên có thể là công cụ hữu ích để vượt qua các biện pháp bảo vệ nghiêm ngặt.
USBee hoạt động bằng cách gửi cho thiết bị USB một chuỗi các giá trị “0”, khiến các USB tạo ra những tín hiệu có thể đọc được ở tần số 240Mhz-480 Mhz. Phần mềm không đòi hỏi quyền đặc biệt nào trên các thiết bị USB. Thiết bị thu tín hiệu chỉ cần phần cứng giá trị khoảng 30 đô la.
Sự gia tăng các nghiên cứu về kỹ thuật truyền tín hiệu ra ngoài những máy tính không nối mạng cho thấy cần phải có những chính sách đặc biệt, chặt chẽ hơn những quy định bảo mật vật lý thông thường như ngắt kết nối mạng, để bảo vệ những máy tính chứa thông tin có độ quan trọng cao. Những máy tính đó phải được đặt tại những khu vực cấm tất cả mọi thiết bị điện tử không đăng ký, sử dụng các hệ thống ngăn chặn xâm nhập với tính năng phát hiện các hành vi lạ, và sử dụng thiết bị để ngăn chặn các tín hiệu điện từ truyền ra ngoài. Các công cụ như USBee được chuyên biệt hóa cao và dùng cho điệp viên của các chính phủ hoặc các tập đoàn lớn. Truyền thông đại chúng đã cho biết từ cách đây 3 năm, NSA đã sử dụng USB gián điệp CottonMouth, USBee có thể đang được các điệp viên sử dụng vì có giá thành khá thấp và có khả năng làm việc với phần lớn các thiết bị lưu trữ USB.
Hoàng Anh lược dịch (theo Ars Technica