¿Cómo un hacker puede hackear las redes aisladas de reactores nucleares?
Las infraestructuras críticas como las plataformas petroleras y los reactores nucleares tienen un sofisticado nivel de seguridad para protegerse contra los ataques cibernéticos. Sin embargo los hackers están pensando un paso por delante de los profesionales de seguridad para hackear la infraestructura crítica. Las infraestructuras críticas tienen las redes aisladas por lo tanto es muy difícil llegar a ellas a través del mundo exterior. Por esta razón, los hackers han desarrollado malware como Stuxnet y Flame, que se propagan a través de dispositivos USB dado que en esas redes se intercambia gran cantidad de información a través de dispositivos de memoria USB.
La memorias USB son dispositivos de almacenamiento de memoria reutilizables que se conectan al puerto USB de un ordenador y se conocen comúnmente como unidades flash o tarjetas de memoria. Usted puede borrar las unidades USB cualquier número de veces y puede utilizarlas para diferentes propósitos.
Las memorias USB son tan comunes en estos días que los hackers han comenzado a escribir malware específicamente para memorias USB. Con el uso de estos malwares los hackers son capaces de hackear redes aisladas como en las plantas nucleares. En este artículo vamos a hablar sobre el malware relacionado a USB con la ayuda de expertos en soluciones de seguridad informática.
DISEÑO DE DISCO USB
Una unidad flash USB es un dispositivo de almacenamiento de datos que incluye una memoria flash con una interfaz Universal Serial Bus (USB) integrada. Una unidad flash consiste en una pequeña placa de circuito impreso con los elementos del circuito y un conector USB, aislados eléctricamente y protegidos dentro de un plástico, metal, o goma. La mayoría de las unidades flash utilizan una conexión estándar de tipo A de USB que permite la conexión con un puerto en un ordenador, pero también existen unidades para otras interfaces. Las unidades flash USB consumen energía del ordenador a través de la conexión USB.
A continuación se mencionan las partes de una unidad flash:
Standard-A conector USB – proporciona una interfaz física para el equipo host.
Controlador de almacenamiento masivo USB – un pequeño microcontrolador con una pequeña cantidad de ROM en el chip y la memoria RAM.
Chip(s) de memoria flash NAND – almacena los datos (flash NAND es típicamente usado también en las cámaras digitales).
Cristal oscilador – produce la señal principal de reloj de 12 MHz del dispositivo y controla la salida de datos del dispositivo a través de un bucle de enganche de fase
Cubierta – típicamente hecha de plástico o metal para proteger la electrónica contra el estrés mecánico e incluso posibles cortocircuitos.
Jumpers y test pins – para las pruebas durante la fabricación o carga del firmware de la unidad flash en el microcontrolador.
LEDs – indican transferencias de datos.
Write-protect switches – activar o desactivar la escritura de datos en la memoria.
Espacio despoblado – proporciona espacio para incluir un segundo chip de memoria. Tener este segundo espacio permite al fabricante utilizar una sola placa de circuito impreso para más de un dispositivo de tamaño de almacenamiento.
Algunas unidades ofrecen un almacenamiento ampliable a través de un slot para tarjeta de memoria interna, como un lector de tarjetas de memoria.
La mayoría de las unidades flash vienen con formato previo de FAT32 o sistemas de archivos exFAT. Los sectores son 512 bytes de longitud, para la compatibilidad con unidades de disco duro, y el primer sector puede contener master boot record y una tabla de particiones.
MALWARES DE USB
Hay dos tipos de malware de USB. Primero está el malware de firmware del disco USB y como segundo está el malware de ordenador normal que se solo ejecuta en discos USB y se llama Ghost malware. Vamos a cubrir más detalles de cada uno de estos malwares y cómo los hackers están utilizándolos para piratear redes aisladas de infraestructuras críticas como plantas de energía eléctrica, reactores nucleares, etc.
1.Malware basado en firmware del microcontrolador USB
Los hackers hacen este malware con reprogramación del firmware de controlador de almacenamiento masivo de las unidades USB. A medida que se inyecta el malware dentro del firmware, que está en el microcontrolador y no en la memoria flash (donde guardamos nuestros archivos).
Mike Stevens, experto de formación de seguridad informática explica que una vez que se inyecta el malware dentro del firmware del disco USB este puede hacer lo siguiente:
1. El malware de firmware de microcontrolador puede emular un teclado y emitir comandos en nombre del usuario que ha iniciado sesión, por ejemplo, dando acceso de root al hacker e infectar otros dispositivos en la red.
2. El disco USB puede actuar como tarjeta de red y cambiar el DNS del equipo para redirigir el tráfico.
La confianza dada por los sistemas operativos como Windows, Mac y Linux a dispositivos de interfaz humana (HID), tales como teclados, tarjetas de red son la razón detrás de este ataque. Esto ya que aparecen las actividades realizadas por el malware, como si un usuario hubiera iniciado sesión para hacer esas actividades. El USB con malware en el firmware se lee como un HID por un sistema operativo, y el malware ejecuta la secuencia de comandos para dar control de root al hacker. Un antivirus no puede detectar este tipo de amenaza ya que piensa que un usuario ha iniciado sesión y este dio acceso a otra persona de confianza.
Hay 3 diferentes tipos de ataques basados en firmware del controlador de almacenamiento masivo US
1.1 BADUSB
Como explicó antes el experto de formación de seguridad informática, el atacante tendrá un disco USB normal que contiene un pequeño microcontrolador, inyectará el malware en el firmware y tomará el control de root de la computadora con la ayuda de este malware. Este tipo de USB se llama BADUSB.
Tipo de ataques con BADUSB
Pretender como ser un USB de 4 GB sin embargo, tiene un espacio de 32 GB en donde se utilizará el resto del espacio para copiar los datos y después cargar al servidor remoto. Así, cuando se formatea el disco, solo se borran 4 GB de espacio.
Pretende ser un un teclado o mouse.
Pretende ser una tarjeta de red.
Pretende ser un teléfono o tableta.
Pretende ser una cámara web.
Pretende ser un token de autenticación del banco.
Pretende ser impresoras y escáneres.
Pretende ser un conector de Tipo-C de luz y datos para la nueva MacBook, Chromebook Pixel. A pesar de su versatilidad, el Tipo-C todavía se basa en el estándar USB, que lo hace vulnerable a un ataque de firmware. Por lo tanto, sería un ataque a través de cable de luz.
CÓMO CREAR BADUSB
PASO 1. Revise los detalles del microcontrolador
Primero verifique los detalles sobre el controlador y firmware asociado. Necesitamos un software como ChipGenius, CheckUDisk, UsbIDCheck o USBDeview para determinar esto. Estos son programas de código abierto y están fácilmente disponibles. Ellos le proporcionarán el Vendor Chip, Part-Number, Vendedor del producto, Modelo de producto, VID y PID.
PASO 2. Restaurar el firmware original y comprobar el firmware (Paso opcional)
Usted puede utilizar este paso para reparar su USB también si por alguna razón esta muerta la unidad USB. Usted puede visitar el sitio web como flashboot.ru y comprobar el programa para restaurar.
Puede utilizar VID y PID encontrado en el paso anterior para buscar el programa para restaurar el firmware. Puede descargar la herramienta MP (mass production) como herramienta USBest UT16 de acuerdo a su PID, VID y luego actualizar el controlador. Esto restaurará su USB completamente como nuevo USB según expertos en soluciones de seguridad informática.
PASO 3. Preparación para la inyección en firmware con malware
Vamos a cubrir el escenario de las memorias USB de Toshiba que tienen controlador de Phison. Las herramientas necesarias están disponibles en GitHub.
Es necesario instalar Windows con .NET 4.0 instalado y Visual Studio 2012.
SDCC (Small Device C Compiler) Suite en C: \ Archivos de programa \ SDCC (para la construcción del firmware y parches) y reinicie el equipo después de instalar estos.
Haga doble clic en DriveCom.sln, este se ejecuta en Visual Studio. Ejecute el proyecto y compile. Entonces el DriveCom.exe está en la carpeta de herramientas.
Haga lo mismo con EmbedPayload.sln y del inyector.
Ejecuta DriveCom como a continuación para obtener información sobre la unidad:
DriveCom.exe /drive=E /action=GetInfo
donde E es la letra de unidad. Esto debe decirle el tipo de controlador que tiene (como PS2251-03 (2303)) y el ID único de su chip flash.
PASO 4. Antes de realizar la operación de flashing de firmware
Para flashing necesitará burner images. Estas imágenes de burners se nombran normalmente utilizando la siguiente convención:
BNxxVyyyz.BIN
donde xx es la versión del controlador (por ejemplo, 03 por PS2251-03 (2303)), yyy es el número de versión (irrelevante), y z indica el tamaño de la página.
z puede ser:
2KM – indica que esto es para los chips NAND 2K.
4KM – indica que esto es para los chips NAND 4K.
M – indica es para los chips NAND 8K.
Usted puede descargar Burner images de Internet desde sitios web como usbdev.ru.
Para construir el firmware personalizado, abra la terminal de comandos en el directorio “firmware” y ejecute build.bat. Puede probar con FW03FF01V10353M.BIN como 1.03.53.
El archivo resultante será un firmware \bin\fw.bin, que luego se puede flashear en su unidad USB.
También producirá un archivo firmware\bin\bn.bin, que es el equivalente en burner de la imagen del código.
PASO 5. Cargar el firmware
Una vez que tenga la imagen, entre en el modo de arranque ejecutando:
DriveCom.exe /drive=E /action=SetBootMode
donde E es la letra de la unidad. Puede transferir y ejecutar el burner image a través de:
DriveCom.exe /drive=E /action=SendExecutable /burner=[burner]
donde E es la letra de la unidad y [burner] es el nombre del archivo de imagen del burner.
Puede cargar el firmware mediante la ejecución de:
DriveCom.exe /drive=E /action=DumpFirmware /firmware=[firmware]
donde E es la letra de unidad y [firmware] es el nombre del archivo de destino.
PASO 6. Inyectar el malware en el firmware
Aquí va a necesitar su exploit con carga útil, según el profesor de formación de hacking ético del IICS puede aprender a crear una carga útil de exploit y e inyectar en código durante la formación de hacking ético. Sin embargo también puede obtener un script de página de GitHub de Rubber Ducky y con la ayuda de Duck Encoder puede crear un archivo inject.bin de su script.
Usted puede inyectar la carga útil en el firmware mediante la ejecución de:
EmbedPayload.exe inject.bin fw.bin
Dónde inject.bin es su script de Rubber Ducky compilado y fw.bin es la imagen del firmware personalizado.
PASO 7. Flashing el firmware de controlador de disco USB.
Una vez que tenga la imagen del burner y el firmware, ejecute:
DriveCom.exe /drive=[letter] /action=SendFirmware /burner=[burner] /firmware=[firmware]
donde [letter] es la letra de la unidad, [burner] es el nombre de la imagen burner, y [firmware] es el nombre de la imagen de firmware.
Los pasos anteriores son el método para la creación de BADUSB. Este USB se puede utilizar para hacking ético y para hacer pruebas de penetración. También puede crear tarjetas SD como BADSD que se pueden utilizar en teléfonos y tabletas para hackearlos. Usted puede buscar en internet un video de investigadores de soluciones de seguridad informática en donde muestren cómo modificar el firmware de la tarjeta SD e inyectar el malware en la tarjeta.
1.2. USB Rubber Ducky – UKI (USB Key Injector)
En lugar de crear su propio firmware USB también puede comprar uno de los USB que se venden en mercados como Rubber Ducky USB o UKI (USB Key Inyector). Usted puede aprender más sobre USB Key Inyector y Rubber Ducky USB en la formación de seguridad informática del International Institute of Cyber Security.
1.3 Placa de Teensy Microcontrolador
El uso de una placa Microcontrolador Teensy con varios tipos de software con el fin de imitar los dispositivos HID es el método más tradicional. Usted puede aprender más sobre Teensy en la formación de hacking ético.
2. GHOST USB Malware
Esto es como un malware normal, sólo que se ejecuta en dispositivos USB y cuando esté dentro de una computadora no realiza ninguna actividad. Los delincuentes utilizan estos métodos para comprometer las redes aisladas que no están accesibles a través de Internet. Un malware de este tipo que fue descubierto recientemente fue FLAME. En el caso de la Flame, el malware crea una carpeta que no puede ser vista por un PC con Windows, ocultando el malware y los documentos robados del usuario, dicen los expertos de soluciones de seguridad informática. Esto abrió la posibilidad de que las personas lleven sin saberlo Flame de PC a PC. Unidades USB con Ghost Malware son eficaces en las redes aisladas donde hay un montón de información confidencial, ya que las unidades de almacenamiento portátiles se utilizan normalmente para transferir datos entre computadoras en redes aisladas.
Flame puede extenderse a otros sistemas a través de una red local (LAN) o través de una memoria USB. Se puede grabar audio, capturas de pantalla, la actividad del teclado y el tráfico de la red. El programa también registra las conversaciones de Skype y puede convertir ordenadores infectados en transmisores de Bluetooth, que intentan descargar la información de los dispositivos cercanos habilitados con Bluetooth. Estos datos, junto con los documentos almacenados localmente, se envían a uno de los varios servidores de comando y control de los piratas. informáticos. Después, el malware puede tomar nuevas instrucciones de estos servidores
Medidas de prevención
Cómo protegerse de BADUSB, USB Rubber Ducky tipo de dispositivos
De acuerdo con el experto de soluciones de seguridad informática de plantas nucleares Taylor Reed de iicybsecurity, usted puede tomar las siguientes medidas.
1. Conecte sólo dispositivos USB de los vendedores que usted conoce y dispositivos USB de confianza. Para las infraestructuras críticas como plantas nucleares y plataformas petroleras, utilice dispositivos que tienen firmware firmado y asegurado por el vendedor que en caso de que alguien trate de romper el firmware, los dispositivos no funcionarán.
2. Mantenga su programa de antimalware actualizado. No va a escanear el firmware pero debe detectar si el BadUSB intenta instalar o ejecutar un malware.
3. Implemente soluciones de seguridad informática por adelantado que vigilen el uso de los dispositivos conectados a su ordenador y que hagan que cualquier teclado USB adicional sea bloqueado
Cómo protegerse del GHOST USB Malware
1. Mantenga su programa de antimalware actualizado.
2. Utilice un Honeypot de para Ghost USB. Ghost honeypot es un honeypot para la detección de malware que se propaga a través de dispositivos USB.
3. Actualmente el honeypot es compatible con Windows XP y Windows 7,10 . La forma Ghost funciona, primero, tratando de emular una unidad flash USB. Si el malware lo identifica como una unidad flash USB, lo siguiente es engañar al malware e infectarlo. Ghost luego busca solicitudes basadas en escritura en la unidad, que es una indicación de un malware. Usted puede aprender más acerca del Ghost honeypot USB en la formación de hacking ético.
Los malwares de USB son muy peligrosos y deben implementarse medidas inmediatas para asegurar la infraestructura de TI con la ayuda de expertos en seguridad informática.
Contáctese con nosotros
Basados en México, USA, India. Proporcionamos cursos y servicios en todo el mundo. Envíenos un correo electrónico o llámenos .
México
- +52 55 9183 5420
USA
- +1 267 705 5264
India
- +91 11 4556 6845