USBee o cómo espiar un sistema aislado gracias a un USB

En los últimos años hemos visto cómo los ataques pensados para afectar a sistemas que están aislados de la red y que no pueden ser objetivo de ataques convencionales han ido en aumento. Casi todas las investigaciones de este tipo provienen de expertos en Israel, algo que no nos extraña debido a que ese país está a la vanguardia en lo que a ciberseguridad se refiere.

Diversas técnicas para atacar computadoras aisladas

Cuando se tiene como objetivo a un sistema que se encuentra aislado de la red o directamente no conectado o “air gapped”, las posibilidades de que se vea afectado por un ataque informático se limitan bastante. Ya no se puede hablar de ataques remotos (o al menos, de más de unos pocos metros) y el atacante debe conseguir en la mayoría de las ocasiones estar lo suficientemente cerca como para conseguir capturar la información.

La transmisión no es rápida pero puede ser suficiente para obtener contraseñas en pocos segundos

Durante los últimos años hemos visto cómo se han desarrollado técnicas de exfiltración de información con métodos poco convencionales. Varios investigadores han demostrado que se podía obtener información desde una computadora aislada de la red usando, por ejemplo, el sonido que emite el disco duro, el procesador o los ventiladores.

De esta forma tan poco convencional se ha ido añadiendo una nueva variedad de ataques conocidos como “air gap attacks”. El último del que hemos tenido constancia es USBee, también desarrollado en Israel por investigadores que ya son expertos en la materia.

Usando dispositivos USB como emisores de información

El funcionamiento de USBee es relativamente sencillo, aunque requiere de ciertas condiciones para que sea efectivo. La primera y más importante es conseguir infectar la computadora objetivo con un malware especialmente diseñado para este ataque. Sabiendo que esta computadora estará en un entorno aislado esto puede parecer difícil de realizar, aunque siempre queda la posibilidad de conseguir que alguien conecte un dispositivo USB infectado: si algo nos dejó Mr. Robot y algún estudio universitario es que las personas tienen propensión a abrir las unidades que encuentran.

En el caso de que el atacante consiguiese su objetivo de infectar la computadora, hay otra variable importante que puede determinar el éxito o fracaso del ataque. Esta variable no es otra que el cable con el que el dispositivo se conecta a la computadora. Y es que, de la misma forma que algunos dispositivos utilizan el cable como antena para recibir información, USBee lo utiliza para emitirla. Esto no significa que un cable sea indispensable pero sí que ayudará a que el envío de la información robada tenga mayor alcance.

Como muchos ataques a sistemas aislados, su efectividad se reduce a situaciones concretas

Tampoco sirven todos los dispositivos USB para realizar este ataque, y algunos modelos de cámaras resultan inútiles ya que no reciben ningún flujo de datos desde la computadora. Pero quitando estas excepciones, USBee puede funcionar con cualquier dispositivo USB que cumpla con las especificaciones de USB 2.0

Cuando el malware consigue ejecutarse en la computadora objetivo y detecta que existe un dispositivo USB que puede utilizar para emitir la información que se desea robar, comienza a enviar una secuencias de números “0” al dispositivo, lo que provoca que este emita en unas frecuencias detectables entre los 240 y los 480 Mhz.

Estas emisiones pueden ser captadas por un receptor cercano que, si bien no puede estar a mucha distancia, puede situarse en una habitación contigua para que el atacante no levante sospechas. Si bien la velocidad de transmisión no es muy rápida (alrededor de 80 bytes por segundo), puede ser más que suficiente para obtener información confidencial como contraseñas en pocos segundos.

Además, una de las ventajas de este ataque es que no se necesita modificar el hardware utilizado. Ni el dispositivo USB que hace de emisor como la antena receptora se han de modificar, por lo que realizar un ataque de este tipo es muy económico en términos de hardware.

Una curiosidad: el nombre “USBee” está inspirado en el comportamiento de las abejas (“bees”, en inglés), las cuales vuelan por al aire llevando polen de un lado a otro; en este caso, se transporta información.

Una buena solución contra este y otros ataques basados en dispositivos USB son las soluciones de seguridad como las de ESET, que permiten bloquear dispositivos USB y permitir únicamente aquellos que estén autorizados por los responsables de administrar esos equipos.

Conclusión: un ataque efectivo en situaciones muy concretas

Como en la gran mayoría de los ataques diseñados con sistemas aislados en el punto de mira, su efectividad se reduce a entornos y situaciones muy concretas. Es bastante difícil que este ataque sea utilizado para afectar a usuarios de forma masiva. Sin embargo, en aquellas operaciones realizadas por algunos gobiernos o fuerzas de seguridad o directamente espionaje, podría ser una técnica interesante.

Es por eso que debemos ver a USBee como lo que es realmente: una demostración más de que no hace falta que un sistema esté conectado a ninguna red para que este sea objetivo de un ataque. Existen otras técnicas desde hace bastante tiempo que han demostrado su efectividad, aunque muchas veces no dejan de ser un experimento que hará las delicias de los apasionados en la seguridad informática pero poco más.

Autor , ESET

Síguenos