Seitenkanal des Monats: USB-Sticks

Die meisten unserer „Seitenkanäle des Monats“ bezogen sich auf Forschungsarbeiten. Dort wurde zwar in praktischen Versuchen gezeigt, dass sie tatsächlich funktionieren, aber es blieb meistens unklar, ob es auch reale Vorfälle gab. Diesen Monat haben möchten wir einen realen Fall aus einem Bericht der Incident-Response-Kollegen von ESET vorstellen, in dem Daten von air-gapped Systemen abgeflossen sind.

Genutzt wurden dafür USB-Sticks. Das klingt nicht ganz so spektakulär wie Töne von flackernden Bildschirmen oder Drohnen mit halbdurchlässigen Spiegeln, aber es hat offenbar funktioniert.

Die Angreifer haben in der Organisation initial Rechner mit Internetzugang unter ihre Kontrolle gebracht. Wenn in diese dann ein USB-Stick eingesteckt wurde, haben sie den ersten Ordner darauf umbenannt, versteckt und dafür eine EXE-Datei mit dem Namen des Ordners und einem passenden Icon abgelegt. Sie ahnen schon, wie es weiterging: Wurde der USB-Stick dann später in einen anderen Rechner, z. B. ein vom Netz isoliertes System gesteckt, und der Nutzer wollte den Ordner öffnen, startete er stattdessen die Malware. Auch der Informationsaustausch zwischen dem kompromittierten System und dem Command-&-Control-Server lief dann über versteckte Dateien auf dem USB-Stick und das System mit Internetzugang.

Liest man den Artikel, kommen einem viele der Angriffsschritte bekannt vor. Es ist vor allem die Orchestrierung der vielen kleinen Schritte, die in Summe den Angriff so erfolgreich machte. Werfen Sie doch mal selbst einen Blick in den Beitrag und überlegen dabei, welche Ihrer Gegenmaßnahmen den Angriff entdeckt hätte.

https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/

Autor