Привет, Хабр! На связи Аеза и сегодня мы хотели бы рассказать о так называемых “хакерских штучках” – устройствах, которые могут использоваться злоумышленниками для реализации различных атак. Возможно, многие наши читатели помнят статью о Flipper Zero. Это учебное устройство позволяло попрактиковаться в различных техниках тестирования на проникновение, таких как атаки BadUSB, копирование RFID-карт и брелоков iButton и других.

Однако, в этой статье мы рассмотрим более серьезные устройства, предназначенные не для обучения, а для использования на практике, то есть для проведения атак или для тестов на проникновение. При этом мы постарались рассмотреть в статье решения, актуальные на начало 2025 года.

Дежурные предупреждения

В этой статье мы сознательно не приводим ссылки на те ресурсы, где описываемые решения можно приобрести. Это связано с тем, что использование подобных устройств на территории Российской Федерации может привести к некоторым трудностям с законом. Также мы напоминаем, что информация, представленная в статье, приводится исключительно в ознакомительных целях.

Цель нашей статьи - познакомить наших читателей, не только безопасников, с теми устройствами, которые могут быть “не совсем тем, чем кажутся” для того, чтобы все понимали, с чем можно столкнуться в реальной жизни и как можно от этого защититься.

Беспроводной кабель

Представь себе ситуацию, когда ты в баре попросил зарядить свой телефон чужим зарядным устройством, а через некоторое время обнаружил, что с твоего счета исчезли деньги... Нет это не новый сезон Mr. Robot и не очередная страшилка. Обычный USB кабель тоже может представлять опасность.

Да, многие слышали про атаки типа BadUSB, когда устройство представляется клавиатурой может самостоятельно набирать любой текст. Этим атакам уже более десяти лет, но они все еще актуальны. Также, известны аппаратные кейлоггеры – устройства, подключаемые в качестве посредника между клавиатурой и USB портом и перехватывающие все нажатые клавиши. А еще было бы неплохо иметь подключение к этому устройcтву по WiFi в обход всех корпоративных средств защиты.

Кабель O.MG Elite содержит в себе все эти функции. С виду это обычный USB кабель с портами Lightning/USB-A/USB-C, а на самом деле…

На самом деле кабель содержит в себе скрытый чип и антенну, с помощью которых собственно и происходит вся магия.

Концепция устройства была представлена еще в 2019 году. В настоящее время продается O.MG Elite Generation 3. Причем разработчик кокетливо заявляет, что это развитие решения, использовавшегося ранее АНБ США и стоившего во много раз дороже. Так что же конкретно умеет этот “кабель”?

Утиные скрипты

Начнем с имитации работы клавиатуры. После подключения этот кабель определяется операционной системой (неважно какой) как клавиатура. Как известно, обычный кабель без подключенного устройства никак не должен определяться. Далее “кабель-клавиатура” начинает выполнять “нажатия” клавиш в системе. Причем клавиши могут быть любыми, в том числе служебные: стрелки курсора, CAPS, SHIFT, WIN и т.д.

На самом деле все эти действия не происходят незаметно для пользователя. Так как мы работаем как клавиатура, в Windows нам необходимо сначала открыть окно командной строки, затем набрать в нем нужные команды. При этом все происходящее будет отображаться на экране и, хотя команды будут набираться и выполняться достаточно быстро, это будет заметно для пользователя.

Мы можем открыть окно cmd.exe в минимально возможном размере для того, чтобы сделать атаку наименее заметной для жертвы.

Для того, чтобы описать необходимые действия, в O.MG используется язык Ducky Script. Этот язык получил распространение благодаря BadUSB устройствам RubberDucky.

Такие “флешки” были довольно популярны несколько лет назад, и для описания необходимых действий в них как раз использовался язык Ducky Script.

Вот фрагмент примера скрипта, запускающего командную строку и печатающего в ней команду на вывод строки “Hello World”

… DELAY 50 STRING cmd.exe ENTER DELAY 100 STRING echo “Hello World” ENTER …

Здесь все достаточно просто. Мы можем сразу печатать строку целиком, а можем передавать нажатия отдельных клавиш. При этом стоит обратить внимание на задержки DELAY, которые мы используем в скрипте. Дело в том, что если печатать команды без задержек, то есть вероятность что операционная система не успеет открыть окно cmd.exe и последующие команды будут набраны не в том окне.

Собственно, серьезной проблемой всех подобных имитаторов клавиатур является то, что если в процессе набора команд пользователь нажмет мышкой в другом окне, команды продолжат набираться. У нас нет возможности получить обратную связь от компьютера. Например, если во время выполнения скрипта пользователь переключился в Word, то он увидит все те команды, которые наберет устройство, после переключения. Соответственно, атака не будет выполнена.

Перехват клавиш

В случае, если мы с помощью этого кабеля подключим к компьютеру клавиатуру, оно может перехватывать все нажатые клавиши. В энергонезависимой памяти устройства может быть сохранено до 650 000 нажатий клавиш. Для того, чтобы получить доступ к этим данным злоумышленник может воспользоваться встроенным Wi-Fi модулем. В таком случае ему не нужно создавать скрытый канал на компьютер жертвы по сети, не надо маскироваться от периметровых и хостовых средств защиты. Мы не передаем никакие данные по сети и не взаимодействуем с процессами непосредственно на машине пользователя, поэтому обычными средствами защиты такое устройство обнаружить будет невозможно.

Об особенностях применения и защите от таких устройств мы поговорим в конце статьи, а пока посмотрим другие “хакерские штучки”.

Скрытые зрители

Еще один апокалиптический сценарий.

Поздним вечер руководители крупной компании собрались на совещание. Коммерческий директор выступает с презентацией в которой рассказывает о планах по захвату мира рынка. Присутствующие на совещании топ менеджеры не знают, что эту презентацию смотрит еще один незваный гость – хакер, представляющий интересы конкурентов…

Эта атака стала возможна благодаря устройству, которое было подключено между проектором и компьютером, на котором запущена презентация.

Идея установки устройств в разрыв не нова. Атаки Man in the Middle используются в локальных сетях, когда устройство перехватывает весь трафик, проходящий через него. Кабель O.MG о котором мы говорили ранее также, если его использовать для подключения клавиатуры становится таким посредником, перехватывающим нажатия клавиш.

Устройство Screen Crab подключается как посредник в HDMI соединение и позволяет снимать скриншоты с передаваемых изображений.

Для удобства сохранения изображений авторы предлагают использовать облачное хранилище, на которое это устройство будет передавать перехваченные изображения.

Хитрая белка

И продолжая тему устройств, устанавливаемых в разрыв, посмотрим классическое решение для реализации MitM в сети. Packet Squirrel Mark II имеет два Ethernet интерфейса и может быть без труда подключен в разрыв между сетевым порт и целевым устройством.

Но это не простой сниффер, он много чего умеет. По умолчанию на устройстве есть три готовые полезные нагрузки (tcpdump, dns spoof, openVPN). Однако, перехватом трафика и подделкой DNS запросов возможности этого устройства не ограничиваются.

В Packet Squirrel имеется возможность создания собственных полезных нагрузок на Bash, Python, PHP и уже знакомом нам Ducky Script. В репозитории GitHub есть набор готовых скриптов для выполнения различных видов перехвата и, также есть инструменты для самостоятельной разработки своих сценариев.

Одним из примеров готовых скриптов является сценарий для подмены DNS пакетов. Устройство может подменить DNS пакеты таким образом, что пользователь, обратившись к одному ресурсу, в итоге попадет на поддельный сайт.

Вот как выглядит подобный скрипт:

#!/bin/bash

NETMODE BRIDGE 

LED R SINGLE

SPOOFDNS br-lan '.*.haсkme.org=127.0.0.1' 'hackme.org=127.0.0.1' '.*.hackme.org=::1' 'hackme.org=::1'

Здесь мы все DNS запросы к hackme.org перенаправляем на 127.0.0.1. Таким образом, мы можем перенаправить запросы пользователя на фишинговый ресурс.

По сути, это устройство представляет собой сервер под Linux, способный выполнять различные действия с трафиком. Все, что ему нужно для работы это 5В от обычной USB зарядки и собственно сетевые каналы, с которыми необходимо работать.

(Раз)блокировщик

Если мы хотим зарядить наше устройство с помощью зарядки, находящейся в общественном месте, например на остановке или в транспорте, для лучшей безопасности необходимо использовать кабель не имеющий возможности передачи данных. Такой кабель содержит только провода + и -, и не содержит контакты для передачи данных.

Также для решения этой проблемы есть специальные переходники – USB Data Blocker. Это переходник USB-USB, содержащий только контакты питания. В результате у злоумышленника не будет физической возможности передать какие-либо данные на устройство.

Но и здесь нас может поджидать сюрприз…

O.MG UnBlocker выглядит и функционирует как такой переходник, блокирующий передачу данных, но внутри него находится беспроводной модуль, с помощью которого можно получить доступ к подключенному устройству по аналогии с кабелем O.MG, который мы рассматривали в начале статьи.

Здесь также имеется набор готовых скриптов и тоже есть возможность использовать DuckyScript для написания собственных сценариев. Для доступа к устройству используется WI-Fi, само управление осуществляется через веб интерфейс. Примечательной особенностью этого устройства является возможность к “самоуничтожению”. То есть, в любой непонятной ситуации мы можем отдать команду на удаление имеющейся прошивки, после чего оно превратиться в настоящий USB Data Blocker без “дополнительного функционала”. Затем прошивку можно восстановить с помощью предоставляемого разработчиками программатора.

Суровая реальность

Мы рассмотрели несколько хакерских устройств, теперь поговорим о том, как можно от них защититься и вообще, все ли так страшно. Конечно, опытные безопасники могут привести множество доводов в пользу низкой полезности подобных устройств при реализации атак в реальности.

Так, для того, чтобы взломать подключенный к кабелю телефон необходимо, чтобы на нем была разрешена отладка по USB. Packet Squirrel не сможет ничего сделать с зашифрованным трафиком. А блокировщики USB у нас не пользуются особой популярностью, так как у тех, кто параноит по поводу безопасности USB обычно припасен свой кабель без возможности передачи данных.

Ну а кроме того, для того, чтобы использовать все эти устройства нужен физический доступ к компьютеру/сети/проектору/портам жертвы.

Доводы совершенно правильные, но не стоит забывать о социальной инженерии, которую могут использовать опытные злоумышленники. Так атакующий может уболтать убедить жертву в необходимости выполнить какие-либо настройки в телефоне, а затем предложить воспользоваться его кабелем. Перехватчик изображений можно достаточно незаметно установить в переговорной. А можно наоборот, сделать его заметным, оставив соответствующую надпись.

Если наш злоумышленник является инсайдером, то есть работает в атакуемой компании, то он может без труда разместить Screen Crab в переговорной. Аналогично инсайдер может подключить Packet Squirrel к коммутаторам доступа, если они размещены в доступном месте, например в навесном потолке или в не запирающемся шкафу. Да и подсунуть кабель O.MG жертве для инсайдера не составит особого труда.

Так что наши советы по тому как защититься будут следующие: мойте руки перед едой … не используйте для подключения своих устройств чужие кабели и блокировщики данных USB, применяйте рекомендации по безопасности от разработчика вашего мобильного устройства и операционной системы. Ну и классические правила физической безопасности: чужие не ходят по офису без сопровождения, камеры, СКУД, сетевое оборудование и каналы связи должны быть защищены от доступа к ним посторонних.

Заключение

Мы рассмотрели несколько примеров устройств в промышленном исполнении, которые могут использоваться хакерами для реализации атак. На самом деле при соблюдении основных правил информационной безопасности можно существенно снизить вероятность стать жертвой подобной атаки. Так что будьте бдительны при использовании своих гаджетов.