Grup Cybercriminal Mengirimkan USB Berbahaya ke Perusahaan Yang Ditargetkan

Peneliti keamanan telah menemukan serangan di mana dongle USB yang dirancang untuk berperilaku diam-diam seperti keyboard dikirimkan ke perusahaan dengan kedok kartu hadiah Best Buy. Teknik ini telah digunakan oleh para profesional keamanan selama keterlibatan pengujian penetrasi fisik di masa lalu, tetapi sangat jarang diamati di alam liar. Kali ini kelompok cybercriminal canggih yang dikenal yang kemungkinan berada di belakangnya.

Serangan itu dianalisis dan diungkapkan oleh peneliti keamanan dari Trustwave SpiderLabs, yang mempelajarinya dari rekan bisnis salah satu anggota tim mereka. Ziv Mador, wakil presiden untuk penelitian keamanan Trustwave SpiderLabs, mengatakan kepada CSO bahwa sebuah perusahaan AS di sektor perhotelan menerima USB sekitar pertengahan Februari.

Paket itu berisi surat yang tampak resmi dengan logo Best Buy dan elemen-elemen branding lainnya yang memberi tahu penerima bahwa mereka telah menerima kartu hadiah $ 50 karena menjadi pelanggan tetap. "Kamu dapat membelanjakannya untuk produk apa pun dari daftar item yang disajikan pada stik USB," tulis surat itu. Untungnya, dongle USB tidak pernah dimasukkan ke komputer mana pun dan diteruskan untuk dianalisis, karena orang yang menerimanya memiliki pelatihan keamanan.

BadUSB

Para peneliti melacak model dongle USB ke situs web Taiwan di mana itu dijual seharga $ 7 dengan nama BadUSB Leonardo USB ATMEGA32U4. Pada 2014, di konferensi keamanan Black Hat USA, tim peneliti dari Security Research Labs (SRLabs) yang berbasis di Berlin mendemonstrasikan bahwa firmware banyak dongle USB dapat diprogram ulang sehingga, ketika dimasukkan ke komputer, ia melaporkan bahwa itu sebenarnya keyboard dan mulai mengirim perintah yang dapat digunakan untuk menyebarkan malware. Para peneliti menjuluki serangan ini BadUSB dan itu berbeda maka hanya menempatkan malware pada USB stick dan mengandalkan pengguna untuk membukanya.

Perangkat Leonardo USB yang diterima dan dianalisis Trustwave memiliki mikrokontroler Arduino ATMEGA32U4 di dalamnya yang diprogram untuk bertindak sebagai keyboard virtual dan menjalankan skrip PowerShell yang dikaburkan melalui baris perintah. Skrip menjangkau domain yang disiapkan oleh penyerang dan mengunduh muatan PowerShell sekunder yang kemudian menyebarkan muatan ketiga berbasis JavaScript yang dijalankan melalui mesin host skrip bawaan Windows.

Muatan JavaScript ketiga ini menghasilkan pengidentifikasi unik untuk komputer dan mendaftarkannya ke server perintah-dan-kontrol jarak jauh. Ia kemudian menerima kode JavaScript tambahan yang dikaburkan dari server yang dijalankannya. Tujuan dari muatan keempat ini adalah untuk mengumpulkan informasi tentang sistem, seperti hak istimewa pengguna, nama domain, zona waktu, bahasa, OS dan informasi perangkat keras, daftar proses yang berjalan, apakah Microsoft Office dan Adobe Acrobat diinstal dan lainnya .

Setelah rutin pengumpulan intelijen ini, JavaScript backdoor memasuki lingkaran yang secara berkala memeriksa dengan server untuk melihat apakah ada perintah baru untuk dieksekusi.

"Fakta bahwa mereka juga murah dan tersedia bagi siapa pun berarti itu hanya masalah waktu untuk melihat teknik ini digunakan oleh penjahat di alam liar," kata para peneliti Trustwave dalam laporan mereka. "Karena perangkat USB ada di mana-mana, digunakan dan terlihat di mana-mana, beberapa menganggapnya tidak berbahaya dan aman. Yang lain bisa sangat ingin tahu tentang isi perangkat USB yang tidak dikenal. Jika cerita ini mengajarkan kita sesuatu, itu adalah bahwa seseorang seharusnya tidak pernah mempercayai perangkat seperti itu. "

Koneksi FIN7

Mador mengatakan kepada CSO bahwa timnya tidak tahu siapa penyerang itu, tetapi setelah melihat informasi dalam laporan Trustwave, peneliti keamanan Costin Raiu dari Kaspersky Lab dan Michael Yip berkomentar di Twitter bahwa malware yang digunakan dan pertandingan infrastruktur yang digunakan oleh geng FIN7 .

FIN7, juga dikenal sebagai Carbanak, adalah kelompok cybercriminal bermotivasi finansial yang telah menargetkan perusahaan-perusahaan yang berbasis di AS dari sektor ritel, restoran, dan perhotelan sejak sekitar 2015. Grup ini dikenal menggunakan teknik canggih untuk bergerak secara lateral di dalam jaringan dan sistem yang dikompromikan dengan tujuan mencuri informasi kartu pembayaran. Para peneliti dari perusahaan keamanan Morphisec memperkirakan di masa lalu bahwa anggota FIN7 menghasilkan sekitar $ 50 juta per bulan dari kegiatan mereka.

Target dalam serangan BadUSB adalah sebuah perusahaan dari sektor perhotelan AS yang sejalan dengan penargetan FIN7 sebelumnya, tetapi sementara malware (GRIFFON) dan pertandingan infrastruktur FIN7, Raiu mengatakan kepada CSO bahwa ini adalah pertama kalinya dia melihat kelompok menggunakan fisik ini. Vektor serangan berbasis dongle USB.

"Kami berharap bahwa kampanye ini kembali ke setidaknya Desember 2019, berdasarkan pengajuan yang kami amati di VirusTotal," Barry Vengerik, direktur teknis Operasi Teknis dan Teknik Reverse (TORE) di FireEye, mengatakan kepada CSO. "FireEye Intelligence telah melacak FIN7 mengirim paket organisasi berbasis di AS melalui USPS yang berisi perangkat USB yang dikonfigurasi untuk mengirimkan malware. Ketika perangkat USB terhubung ke PC, ia berfungsi sebagai keyboard virtual, meluncurkan instance cmd.exe dan menjalankan perintah PowerShell dibuat untuk mengunduh skrip PowerShell yang dihosting dari jarak jauh yang dirancang untuk meluncurkan instance dari backdoor GRIFFON. "

FBI juga mengirimkan peringatan pribadi kepada perusahaan-perusahaan pada hari Kamis mengkonfirmasi bahwa FIN7 berada di belakang serangan fisik berbasis USB ini. Badan itu mengatakan mereka menerima laporan dari beberapa paket yang berisi barang-barang termasuk perangkat USB berbahaya yang dikirim ke bisnis dari industri ritel, restoran, dan hotel melalui USPS. Peringatan tersebut berisi lebih banyak detail teknis, gambar paket dan perangkat USB, serta rekomendasi untuk bisnis tentang informasi apa yang harus dilaporkan kembali ke FBI jika mereka ditargetkan.

Lebih banyak serangan BadUSB di jalan?

Serangan yang melibatkan dongle USB diprogram ulang untuk bertindak sebagai keyboard belum digunakan secara luas sampai sekarang karena mereka tidak terlalu terukur. Salah satu dongle yang populer dengan penguji penetrasi adalah USB Rubber Ducky. Itu dibuat oleh perusahaan bernama Hak5 dan biaya $ 50, yang tidak banyak uang untuk dibelanjakan oleh seorang profesional, tetapi bertambah dengan cepat jika kamu seorang penyerang dan ingin menginfeksi banyak korban, terutama karena tingkat keberhasilan tidak akan 100 persen.

Namun, dengan harga masing-masing $ 7 (dan mungkin lebih sedikit jika dibeli dalam jumlah besar), dongle berbahaya seperti perangkat BadUSB Leonardo membuat serangan BadUSB yang sebenarnya menjadi jauh lebih layak. Penyerang bahkan tidak perlu bersusah payah, ingin membuat firmware khusus untuk mengubah stik USB tidak berbahaya menjadi yang berbahaya. Mereka hanya perlu memuat muatan kustom mereka ke perangkat yang sudah jadi dan mengirimkannya.

Meski begitu, serangan jenis ini diperkirakan menargetkan sejumlah kecil perusahaan yang dipilih dengan cermat yang telah dilakukan oleh para penyerang. Menurut Trustwave's Mador, pilihan meniru Best Buy mungkin bukan kecelakaan. Penyerang dapat menggunakan informasi online untuk menemukan kontraktor dan pemasok perusahaan.

Juga, dalam kasus ini, surat nakal dikirim ke alamat bisnis, tetapi dengan karyawan senior dan lainnya sekarang bekerja dari rumah karena pandemi COVID-19 risikonya bahkan lebih tinggi.

Di tempat kerja, surat-surat seperti itu mungkin akan diterima oleh staf administrasi, yang kemudian mungkin membawa perangkat ke IT atau tim keamanan jika mereka telah dilatih dengan benar, sehingga beberapa orang mungkin melihat perangkat sebelum digunakan, kata Mador. Namun, di rumah tidak ada staf keamanan dan bahkan jika penerima yang dituju menerima pelatihan kesadaran keamanan di tempat kerja, perangkat mungkin ditemukan dan digunakan oleh salah satu anggota keluarga mereka sebelum mereka memiliki kesempatan untuk menghentikannya.

Jika peretas berkompromi dengan perangkat di jaringan rumah korban, mereka pada akhirnya juga akan berhasil meretas komputer kerja mereka, yang mungkin akan memberi mereka akses ke jaringan atau sistem perusahaan melalui koneksi VPN. Itu sebabnya para profesional keamanan khawatir tentang situasi kerja paksa dari rumah yang saat ini berlaku.

"Orang-orang tahu sekarang bahwa mereka tidak boleh mengklik tautan atau membuka lampiran dari sumber yang tidak dikenal atau tidak dipercaya," kata Mador. "Tapi ketika datang ke dongle USB, banyak yang masih tidak menggunakan penilaian yang benar."

Keyword: cybercriminal serang perusahaan, usb cybercriminal