Das Wiederaufleben USB-basierter Angriffe

Holger Fischer - OPSWAT,
Linkedin
USB

Wer auf Wechselmedien – wie USB-Laufwerke – angewiesen ist, muss wachsam bleiben, da diese Geräte schädliche und kostspielige Cyberangriffe auslösen können.

USB-Geräte werden häufig in einer Reihe von KRITIS-Sektoren wie Infrastrukturbetreiber, Versorgungsunternehmen und dem Gesundheitswesen eingesetzt. Diese Sektoren sind auf USB-Laufwerke angewiesen, um Daten in Umgebungen mit eingeschränktem oder keinem Internetzugang zu übertragen, zum Beispiel in Air-Gapped-Systemen, die kritische Vermögenswerte und Daten aus Sicherheitsgründen von externen Netzwerken isolieren.

Sogu-Malware der Hackergruppe UNC53

In Umgebungen der Betriebstechnik (OT) sind USB-Laufwerke oft die einzige praktische Möglichkeit, Daten zwischen Systemen zu übertragen, die bewusst offline gehalten werden, was sie zu einem gängigen Werkzeug für Software-Updates oder Datenmigration macht. Diese weit verbreitete Nutzung macht USB-Laufwerke zu einem Hauptziel für Cyberangriffe. Ein prominentes Beispiel ist die Sogu-Malware, die von der Hackergruppe UNC53 eingesetzt wurde und mit der im vergangenen Jahr mehrere Unternehmen infiltriert wurden. Diese Kampagne richtete sich gegen Branchen in Ländern wie Ägypten und Simbabwe, in denen USB-Laufwerke ein wesentlicher Bestandteil des täglichen Geschäftsbetriebs sind.

Tastenanschläge zur Installation verdeckter Malware

Die neuesten USB-basierten Angriffstechniken sind immer ausgefeilter und umgehen häufig erweiterte Sicherheitsschichten, indem sie das Vertrauen zwischen dem USB-Gerät und dem Host ausnutzen. Langjährige Techniken wie „Rubber Ducky“-Tastatureingabeangriffe, bei denen Benutzeraktivitäten unbemerkt kopiert und Informationen an das Hostsystem des Angreifers zurückgesendet werden, werden auf neue Weise eingesetzt. Beispielsweise kann die Firmware einiger Human Interface Devices (HIDs) wie Mäuse und Tastaturen so verändert werden, dass die Tastenanschläge zur Installation verdeckter Malware genutzt werden. Dies ist ein beliebtes Mittel für Penetrationstester und Social Engineers, die unachtsame Mitarbeiter oder Partner dazu verleiten wollen, ein kompromittiertes USB-Gerät in die Hand zu nehmen und einzustecken.

Wechselmedien sind perfekter Vektor für Malware-Infektionen

Die Verwaltung von Wechselmedien stellt insbesondere in OT-lastigen Umgebungen eine Herausforderung dar. USB-basierte Angriffe umgehen die herkömmliche Netzwerksicherheit und ermöglichen es Angreifern, sensible Daten zu exfiltrieren oder sich langfristigen Zugriff auf Systeme zu verschaffen. Diese Angriffe sind besonders gefährlich in isolierten Systemen, in denen die fehlende Netzwerkkonnektivität die Erkennung verzögern und die Verweildauer der Angreifer verlängern kann.

Dies macht sie zu einem perfekten Vektor für Malware-Infektionen, Datenlecks und unbefugten Zugriff. Infizierte USB-Laufwerke können leicht schädliche Software in Systeme einschleusen, die nicht regelmäßig überwacht werden, was zu potenziellen Datenverlusten oder Betriebsunterbrechungen führen kann. Ohne strenge Geräte- und Datenkontrollen können USB-Laufwerke Malware einschleusen oder unbefugten Zugriff auf sensible Systeme ermöglichen.

Eine der größten Herausforderungen für Unternehmen bei der Bewältigung dieser Sicherheitsrisiken besteht darin, dass sie oft nicht genau wissen, welche Personen und welche Geräte sie mit ihren Systemen verbinden oder wie Daten übertragen werden, was die Durchsetzung von Richtlinien erschwert. Nicht nur die Sicherheitsrisiken durch Malware stellen ein Problem dar, auch der Diebstahl oder Verlust unverschlüsselter Daten auf Wechselmedien stellt ein erhebliches Risiko dar, insbesondere in hochsicheren Umgebungen.

Schädliche Daten von USB-Laufwerken fernhalten

 Um diese Risiken zu minimieren, ist ein mehrschichtiger Sicherheitsansatz erforderlich, der sowohl technische als auch richtlinienbasierte Lösungen kombiniert. Die Echtzeitüberwachung von Geräten ist unerlässlich. Jeder an ein System angeschlossene USB-Stick sollte auf Malware und verdächtige Aktivitäten gescannt werden, damit Bedrohungen erkannt werden können, bevor sie das Netzwerk gefährden.

Die Datenbereinigung spielt in diesem Prozess eine Schlüsselrolle. Durch die Bereinigung von Dateien, die über USB übertragen werden, können Unternehmen versteckte Malware oder schädliche Inhalte entfernen und so sicherstellen, dass nur sichere Daten in ihr Netzwerk gelangen.

Air-Gapped-Systeme und Cybersicherheits-Kiosk

Für Unternehmen im KRITIS-Sektor könnte eine robustere Lösung aus Air-Gapped-Systemen in Kombination mit einem Cybersicherheits-Kiosk bestehen, der alle ein- und ausgehenden Medien scannt und bereinigt. Alle Dateien werden mithilfe von CDR-Techniken (Content Disarm and Reconstruction) von schädlichen Inhalten befreit und in sicheren, isolierten Datentresoren abgelegt. Nur bereinigte und validierte Daten aus diesen Tresoren dürfen auf die operativen Technologienetzwerke zugreifen. Diese Systeme stellen sicher, dass jedes Gerät, das in eine sichere Umgebung gelangt, zunächst von potenziellen Bedrohungen befreit wird, was eine zusätzliche Schutzebene bietet.

Beschränkung des Zugriffe definieren

Unternehmen sollten weiterhin strenge Kontrollen darüber einführen, welche USB-Geräte auf kritische Systeme zugreifen können, und die Arten von Dateien regeln, die auf Wechselmedien übertragen werden dürfen. Durch die Beschränkung des Zugriffs auf autorisiertes Personal und genehmigte Daten können Unternehmen das Risiko minimieren, dass Geräte ihr Netzwerk gefährden. Richtlinien und Verfahren sollten vorschreiben, dass jedes USB-Laufwerk gescannt und sein Inhalt bereinigt werden muss, bevor die Daten in das Unternehmen gelangen dürfen. Dies kann in großem Umfang mithilfe einer dedizierten Scan-Kiosk-Anwendung erreicht werden.

Die Schulung von Mitarbeitern und Partnern in der Lieferkette ist ebenfalls von entscheidender Bedeutung. Die Ursache von USB-basierten Angriffen lässt sich oft auf menschliches Versagen zurückführen – wie die Verwendung ungesicherter oder nicht autorisierter Geräte – und umfassende Schulungen können dazu beitragen, diese Risiken zu minimieren. Benutzer sollten über Verschlüsselung, die Gefahren der Verwendung unbekannter USB-Geräte und bewährte Verfahren zum sicheren Entfernen von Geräten aufgeklärt werden, um Datenbeschädigungen oder Malware zu verhindern. In Sektoren mit hohem Risiko können regelmäßige Audits darüber, wie USB-Laufwerke verwendet werden und wie Sicherheitsprotokolle befolgt werden, die Abwehrkräfte eines Unternehmens weiter stärken.

Holger Fischer

ist Director EMEA Central bei OPSWAT.