Gli attacchi tramite chiavette USB costituiscono una minaccia significativa per la sicurezza informatica, sfruttando l'uso quotidiano dei dispositivi USB per diffondere malware e aggirare le tradizionali misure di sicurezza di rete. Questi attacchi possono causare violazioni dei dati, perdite finanziarie e interruzioni operative, con conseguenze durature sulla reputazione di un'organizzazione. Un esempio eclatante è il worm Stuxnet, scoperto nel 2010, progettato per colpire i sistemi di controllo industriale, in particolare le strutture di arricchimento nucleare in Iran. Stuxnet ha sfruttato vulnerabilità zero-day, diffondendosi principalmente tramite chiavette USB, diventando uno dei primi esempi di attacco informatico con effetti fisici concreti. Ha evidenziato i rischi legati ai supporti rimovibili e ha aumentato la consapevolezza globale riguardo alle minacce alla sicurezza informatica delle infrastrutture critiche.
Metodi di propagazione degli attacchi USB
Gli attacchi tramite chiavette USB si propagano spesso attraverso metodi come l'abbandono intenzionale di dispositivi infetti in luoghi pubblici, l'invio di chiavette tramite posta camuffate da oggetti promozionali, l'uso di ingegneria sociale per convincere le vittime a collegare i dispositivi infetti e il collegamento non richiesto di chiavette infette in sistemi incustoditi. Questi attacchi seguono tipicamente un processo multi-step che include ricognizione, armamento, consegna, sfruttamento, installazione, comando e controllo, e azioni sugli obiettivi, come il furto di dati sensibili o il dispiegamento di ransomware.
Soluzioni per migliorare la sicurezza
Per migliorare la postura di sicurezza informatica contro questi attacchi, una soluzione efficace è rappresentata da Wazuh, una piattaforma open source che aiuta le organizzazioni a rilevare e rispondere alle minacce monitorando le attività di sistema. In particolare, Wazuh può monitorare le attività delle chiavette USB sui sistemi Windows utilizzando la funzione Audit PNP Activity, che registra gli eventi Plug and Play. Configurando Wazuh per rilevare eventi specifici e monitorando gli eventi correlati alle USB, gli amministratori di sicurezza possono identificare connessioni sospette e potenziali incidenti di sicurezza. La creazione di un database di dispositivi autorizzati permette a Wazuh di distinguere tra dispositivi autorizzati e non, generando allarmi per quelli non autorizzati.
Nei sistemi Linux, Wazuh può essere configurato per monitorare le chiavette USB tramite regole udev personalizzate che generano eventi dettagliati sull'attività USB. Analogamente, nei sistemi macOS, uno script personalizzato può registrare eventi critici relativi ai dispositivi USB, con Wazuh configurato per monitorare questi eventi. Monitorando modifiche al registro, modelli di esecuzione di comandi insoliti e l'uso sospetto di binari di sistema, Wazuh è in grado di rilevare attività malevole come quelle del worm Raspberry Robin, fornendo una risposta rapida per mitigare le potenziali interruzioni.
