FBI kısa süre önce FIN7 adlı bir grup tarafından gelişmiş USB tabanlı saldırılar konusunda uyardı. Geçen Ağustos ayında başladığına inanılan kampanya, ulaşım, sigorta ve savunma gibi kritik altyapı sektörlerinde faaliyet gösterenler de dahil olmak üzere Amerikan şirketlerini hedef alıyor. Saldırganlar, kurbanlara USB cihazlarında gelişmiş saldırı araçları içeren paketler göndererek hedef aldı. Bu “BadUSB’ler” önemli bir tehdit oluşturuyor. İşte onlar hakkında bilmeniz ve yapmanız gerekenler.
Saldırı Tekniği ve Araçları
Paketlerin, her biri kullanıcıları USB cihazlarını kullanmaya kandırmak için tasarlanmış iki varyasyonu olduğuna inanılıyor. İlki COVID-19 kurallarına atıfta bulunurken, ikincisi sahte bir hediye kartı ve teşekkür mektubu ile dekoratif ambalaj içinde bir hediye olduğunu iddia ediyor.
Bu BadUSB’ler aslında penetrasyon testi araçlarıdır. Bir BadUSB normal bir USB’ye benziyor, ancak kendisini bir bilgisayarın işletim sistemine, klavye gibi bir bilgisayar tarafından daha doğal olarak güvenilen başka bir cihaz olarak sunuyor. Bilgisayara takıldıktan sonra, cihaz Windows komut satırını çağırır ve bir istismar indiren bir komut dosyası yürütür. Bu, saldırganların kuruluşta bir saldırı dizisi başlatmasını sağlayan uç noktada bir enfeksiyona neden olur – FIN7 saldırıları durumunda, fidye yazılımı.
Ne yazık ki, bu tek seferlik bir olay veya saldırı tekniği değildi. Düzenli olarak ortaya çıkan yeni varyasyonlarla yaklaşık 30 açıkça tanımlanmış USB saldırı aracı vardır. Endişelenmemiz gereken tek şeyin USB’deki kötü amaçlı dosyaların ne olduğu olduğu günler geride kaldı. Bugün sadece cihazdaki dosyaları değil, cihazın kendisini de düşünmeliyiz. Güvenli ve güvenilir bir ortama getirdiğimiz tüm cihazlar için standart felsefe bu olmalıdır. Kuruluşları cihaz tabanlı tehditlerden korumaya yönelik diğer hususlar şunlardır:
- Riski en aza indirmek için tedarik zincirinizi yalnızca güvenilir satıcılardan koruyun. Bir anlaşma gerçek olamayacak kadar iyi görünüyorsa, muhtemelen öyledir – ve pazarlık ettiğinizden fazlasını alıyor olabilirsiniz.
- Hediyelere dikkatli yaklaşın. FIN7 saldırısında olduğu gibi, kötü niyetli cihazlar genellikle kurbanları kandırmak için hediyeler olarak gizlenir.
- Gereksiz donanımı kritik ortamınızdan kaldırın. Bir çekmeceyi eski USB sürücüler, CD’ler, DVD’ler, fareler, klavyeler vb. ile dolu tutmak için hiçbir neden yoktur. Kötü amaçlı cihazlar bu tür koleksiyonlarla kolayca karıştırılabilir veya eski cihazlar kötü niyetli davranacak şekilde değiştirilebilir.
- Test edilmiş ve onaylanmış tüm cihazların bir listesini oluşturun. Çıkarılabilir ortamdan klavyelere, kulaklıklara, monitörlere ve daha fazlasına kadar her şeyin envanterini çıkarın. Tesisinizde kullanılan her şey ve her şey, yeni bir şey ortaya çıkarsa, bir şeylerin yanlış olduğuna dair görsel bir ipucu olduğundan ve yönetimin veya bir güvenlik ekibinin dikkatine sunulduğundan emin olmak için belgelenmelidir.
- Eğitim, ilk savunma hattınız olabilir. En zayıf halkamız kadar güçlüyüz. İnsan doğası gereği meraklıdır. Tüm çalışanların ve site ziyaretçilerinin en son güvenlik uygulamaları konusunda eğitildiğinden emin olun. Düzenli eğitimin karmaşık veya hantal olması gerekmez. Kilit nokta, tüm çalışanların en son kılavuzlara erişmesini ve izlenecek en iyi uygulamalardan haberdar olmasını sağlamaktır.
- Çıkarılabilir medya güvenlik çözümleri, kuruluşun uç noktalarını kötü amaçlı USB’ye karşı yalıtır ve cihazları güvenli bir şekilde kullanmak için bir ağ geçidi görevi görür.
Bu en iyi uygulamalar, çıkarılabilir medya güvenlik politikasının temelini oluşturmaya yardımcı olabilir, ancak bu tür herhangi bir politikanın sürekli olarak gözden geçirilmesi ve değerlendirilmesi gerektiğini hatırlamak da önemlidir. Örneğin, çıkarılabilir güvenlik politikanız son FIN7 saldırısını engeller miydi? Değilse, nasıl güncellenmelidir? Kuruluşlar, tesisleri kötü aktörlerden korumak için mümkün olan her şeyi yaptıklarından emin olmak için güvenlik politikasıyla ilgili bu ve diğer soruları düzenli olarak kendilerine sormalıdır.
