Perfider Angriff auf Unternehmens-Netzwerk per USB-Maus

Angriff der Computer-Maus

Ein Sicherheitsdienstleister nutzte eine präparierte USB-Maus, um das Netz eines Unternehmenskunden zu infiltrieren. Dazu baute er in das Gehäuse der Maus einen zusätzlichen Mikrocontroller mit USB-Unterstützung ein, der eine Tastatur simulierte und ergänzte das Ganze um einen USB-Speicher.

Die „Maus“ sendete nach dem Anschluss an den PC Tastatureingaben an den Computer, um auf dem USB-Stick gespeicherte Programme zu starten. Um auf dem Zielsystem den von McAfee stammenden Virenscanner ruhigzustellen, nutze der Dienstleister nach eigenen Angaben einen bis dato unbekannten Exploit.

Knackpunkt des Angriffs war, einen geeigneten Angestellten zu finden, an dem man die Computer-Maus schicken konnte, damit dieser sie unbedacht an seinen Rechner anschließt. Zwar hatte der Auftraggeber des Penetration-Tests Social-Engineering-Angriffe per Telefon, Social Networks und E-Mail verboten, über den Adressanbieter Jigsaw gelangte der Dienstleister aber an eine Liste von Angestellten des Unternehmens. Einen davon wählte man aus und sandte ihm die Maus in der Originalverpackung zu – als Werbegeschenk getarnt.

Ganz neu ist der Angriff mit manipulierten USB-Geräten nicht, insbesondere "zufällig" liegen gelassene USB-Stücks werden bei Sicherheitstest immer mal wieder eingesetzt. Einer aktuellen Studie des Department of Homeland Security zufolge schließen 60 Prozent der Anwender einen USB-Stick unbedarft an den PC an, um zu sehen, was darauf gespeichert ist.

Der praktische Angriff via Computer-Maus ist allerdings neu. Sicherheitsbeauftrage in Unternehmen dürfte dies vor das Problem stellen, künftig Peripherie-Geräte einer Prüfung unterziehen zu müssen, bevor Anwender sie an ihren PC anschließen dürfen. Auch manipulierte Android-Handys können sich beim Anschluss an den Rechner als Keyboard zu erkennen geben und die Kontrolle übernehmen.

Quelle: http://www.heise.de/newsticker/meldung/Angriff-der-Computer-Maus-1269684.html

---