Attenzione al cavo USB che può diventare un keylogger e non solo

Cos'è O.MG Cable e come può registrare credenziali dell'utente e altri dati riservati. Permette di amministrare a distanza qualunque dispositivo Windows, Linux, macOS all'insaputa della vittima.

Inizialmente nato come un prodotto sperimentale O.MG Cable è diventato un dispositivo sempre più popolare tra coloro che sono interessati a lanciare un’aggressione informatica nei confronti di aziende, professionisti e soggetti di primo piano.
Il progetto ha subìto una serie impressionante di continue migliorie e ottimizzazioni: ignorarne l’esistenza sarebbe un grave errore.

È bene conoscerne la sua esistenza e capire nel dettaglio come funziona perché oggi non è più possibile avere fiducia neppure in un semplice cavo USB.
A una prima occhiata O.MG Cable appare come un normale cavo USB ma internamente nasconde un efficace keylogger e un dispositivo che può consentire di inviare comandi a distanza sul sistema Windows, Linux o macOS al quale è collegato.

O.MG Cable è disponibile in versione USB-C, con adattatore USB-A o Lightning: può quindi collegarsi con qualunque sistema e qualsiasi dispositivo mobile, compresi quelli basati su Android e iOS. Una presentazione è reperibile ad esempio in questo post su Twitter.

Chi usa O.MG Cable come un normale cavo di ricarica USB o come collegamento fisico con un altre periferiche, come può essere una tastiera, generalmente non si accorge dell’insidia che il dispositivo nasconde.

Disponibile per l’acquisto su Hak5, O.MG Cable può collegarsi con un router o un access point WiFi e permettere l’accesso a distanza da parte di aggressori e malintenzionati determinati a carpire i segreti altrui.
Il modulo WiFi integrato nel cavetto e in particolare nella zona del connettore può essere configurato sia come access point (quindi utilizzato per leggere in tempo reale ciò che un altro utente sta digitando) sia come client wireless.

Un aggressore può quindi silenziosamente sostituire il cavo USB di una tastiera e collegarsi da remoto ricevendo tutto quanto viene digitato dalla vittima.
Non solo. È possibile inviare al cavo O.MG un payload (uno “script”) ovvero una lista di azioni da compiere simulando esattamente le operazioni che un utente eseguirebbe da tastiera.
In questo modo è possibile ad esempio superare una schermata di login in Windows, Linux e macOS digitando nome utente e password altrui per poi richiedere l’esecuzione di una serie di operazioni. Simulando l’input dell’utente da tastiera non c’è limite alle attività che possono essere disposte ed effettuate a distanza, indipendentemente dal sistema operativo installato.

Attraverso O.MG è possibile attivare una reverse connection (ne parlavamo già nel 2009) per controllare il dispositivo al quale è collegato il cavetto così come se si fosse fisicamente seduti dinanzi ad esso.

Abbiamo visto quanto siano pericolosi gli attacchi basati sul collegamento di dispositivi USB di provenienza sconosciuta.
Infezioni come Stuxnet che hanno paralizzato centrali nucleari e altri impianti di rilevanza nazionale e internazionale sono partite proprio dalla connessione di dispositivi lasciate nelle vicinanze delle aziende da violare da parte di malintenzionati.
Vi immaginate cosa può accadere, anche senza sostituirlo fisicamente, lasciare su una scrivania o in un parcheggio di un’azienda di primo piano un cavo come O.MG?

Come riconoscere la presenza in rete di un cavo O.MG

È buona norma controllare periodicamente quanti e quali dispositivi sono collegati alla propria rete WiFi analizzando i rispettivi MAC address.
Di ciascun dispositivo è bene verificarne l’identità disconnettendo da router i device che sembrano sospetti in modo da avere il tempo per effettuare le verifiche del caso.

Utilizzando un network scanner come Nmap si può usare uno script per andare alla ricerca dei cavi O.MG eventualmente presenti in rete locale.

Va tenuto presente che i cavetti O.MG incorporano anche una funzione di autodistruzione che può essere attivata da remoto dagli aggressori una volta raggiunto lo scopo. In questo modo il dispositivo si comporterà come un qualunque cavo USB e la sua presenza non sarà più rilevabile.

Ti consigliamo anche

Link copiato negli appunti