FBI gần đây đã cảnh báo về các cuộc tấn công dựa trên USB nâng cao bởi một nhóm được gọi là VÒNG7. Chiến dịch này, được cho là đã bắt đầu vào tháng 8 năm ngoái, nhắm vào các công ty Mỹ, bao gồm cả những công ty thuộc các ngành cơ sở hạ tầng quan trọng như vận tải, bảo hiểm và quốc phòng. Những kẻ tấn công nhắm vào nạn nhân bằng cách gửi cho họ các gói chứa các công cụ tấn công nâng cao trên thiết bị USB. Những “BadUSB” này gây ra mối đe dọa đáng kể. Đây là những gì bạn cần biết - và làm - về họ.

Kỹ thuật và công cụ tấn công
Người ta tin rằng có hai biến thể của gói, mỗi gói được thiết kế để lừa người dùng sử dụng thiết bị USB. Cái đầu tiên đề cập đến hướng dẫn về COVID-19, trong khi cái thứ hai tuyên bố là một món quà được đựng trong bao bì trang trí với thẻ quà tặng giả và thư cảm ơn.

Những BadUSB này thực chất là công cụ kiểm tra thâm nhập. BadUSB trông giống như một USB bình thường nhưng nó xuất hiện trong hệ điều hành của máy tính như một thiết bị khác, một thiết bị được máy tính tin cậy hơn, chẳng hạn như bàn phím. Sau khi được đưa vào máy tính, thiết bị sẽ gọi dòng lệnh Windows và thực thi tập lệnh tải xuống bản khai thác. Điều này gây ra sự lây nhiễm ở điểm cuối, cho phép kẻ tấn công bắt đầu một chuỗi tấn công vào tổ chức — trong trường hợp các cuộc tấn công FIN7 là ransomware.

Đáng buồn thay, đây không phải là sự kiện hay kỹ thuật tấn công chỉ xảy ra một lần. Có khoảng 30 công cụ tấn công USB được xác định rõ ràng với các biến thể mới xuất hiện thường xuyên. Và đã qua lâu rồi cái thời mà tất cả những gì chúng ta phải lo lắng là có những tập tin độc hại nào trên USB. Ngày nay, chúng ta phải nghĩ đến không chỉ các tập tin trên thiết bị mà còn cả chính thiết bị đó. Đây phải là triết lý tiêu chuẩn cho mọi thiết bị mà chúng tôi đưa vào một môi trường an toàn và đáng tin cậy. Những cân nhắc khác để giữ an toàn cho tổ chức trước các mối đe dọa dựa trên thiết bị bao gồm:

• Chỉ bảo mật chuỗi cung ứng của bạn từ các nhà cung cấp đáng tin cậy để giảm thiểu rủi ro. Nếu một thỏa thuận có vẻ quá tốt đến mức khó tin thì có thể là như vậy - và bạn có thể nhận được nhiều hơn những gì bạn mặc cả.

• Tiếp cận quà tặng một cách thận trọng. Giống như cuộc tấn công FIN7, các thiết bị độc hại thường được ngụy trang thành quà tặng để lừa nạn nhân.

• Loại bỏ phần cứng không cần thiết khỏi môi trường quan trọng của bạn. Không có lý do gì để giữ một ngăn kéo chứa đầy ổ USB, CD, DVD, chuột, bàn phím cũ, v.v. Các thiết bị độc hại có thể dễ dàng bị trộn lẫn với các bộ sưu tập như vậy hoặc các thiết bị cũ hơn có thể bị thay đổi để hoạt động độc hại.

• Tạo danh sách tất cả các thiết bị đã được thử nghiệm và phê duyệt. Kiểm kê mọi thứ từ phương tiện di động đến bàn phím, tai nghe, màn hình và hơn thế nữa. Bất cứ thứ gì và mọi thứ được sử dụng trong cơ sở của bạn phải được ghi lại để đảm bảo rằng nếu có điều gì đó mới xuất hiện thì sẽ có dấu hiệu trực quan cho thấy có điều gì đó không ổn và cần được ban quản lý hoặc nhóm bảo mật chú ý.

• Đào tạo có thể là tuyến phòng thủ đầu tiên của bạn. Chúng ta chỉ mạnh bằng mắt xích yếu nhất của mình. Bản chất con người là tò mò. Đảm bảo rằng tất cả nhân viên và khách truy cập trang web đều được đào tạo về các biện pháp bảo mật mới nhất. Việc đào tạo thường xuyên không cần phải phức tạp hay rườm rà. Điều quan trọng là đảm bảo rằng tất cả nhân viên đều có quyền truy cập vào hướng dẫn mới nhất và nhận thức được các biện pháp thực hành tốt nhất cần tuân theo.

• Các giải pháp bảo mật phương tiện di động cách ly các điểm cuối của tổ chức khỏi USB độc hại và đóng vai trò là cổng để sử dụng thiết bị một cách an toàn.

Những phương pháp thực hành tốt nhất này có thể giúp hình thành nền tảng của chính sách bảo mật phương tiện di động, nhưng điều quan trọng cần nhớ là bất kỳ chính sách nào như vậy đều phải được xem xét và đánh giá liên tục. Ví dụ: chính sách bảo mật có thể tháo rời của bạn có ngăn chặn được cuộc tấn công FIN7 gần đây không? Nếu không thì nên cập nhật như thế nào? Các tổ chức nên thường xuyên tự hỏi mình những câu hỏi này và những câu hỏi khác về chính sách bảo mật để đảm bảo rằng họ đang làm mọi thứ có thể để giữ an toàn cho cơ sở vật chất khỏi những tác nhân xấu.