Ich dachte nicht, dass ich Angst vor einem USB-Kabel hatte, bis ich zur Def Con ging. Aber da bin ich zum ersten Mal auf das O.MG-Kabel gestoßen. Das Elite-Kabel, das auf der berühmten Hackerkonferenz vorgestellt wurde, überzeugte mich mit einer Kombination aus technischem Können und seinem extrem unauffälligen Design.
Einfach ausgedrückt, Sie können viel Schaden mit einem Kabel anrichten, das sich nicht so verhält, wie es Ihr Ziel erwartet.
Was ist das?
Es ist nur ein gewöhnliches, unscheinbares USB-Kabel – zumindest würde ein Hacker Sie glauben machen.
„Es ist ein Kabel, das wie andere Kabel aussieht, die Sie bereits haben“, sagt MG, der Schöpfer des Kabels. „Aber in jedes Kabel habe ich ein Implantat gesteckt, das einen Webserver, USB-Kommunikation und Wi-Fi-Zugang hat. Also wird es eingesteckt, eingeschaltet und Sie können eine Verbindung herstellen. .
Dies bedeutet, dass dieses schlicht aussehende Kabel tatsächlich dafür ausgelegt ist, die durchlaufenden Daten zu schnüffeln und Befehle an das Telefon oder den Computer zu senden, mit dem es verbunden ist. Und ja, es gibt einen WLAN-Hotspot in das Kabel selbst integriert. Diese Funktion war im ursprünglichen Cable vorhanden, aber die neuere Version verfügt über erweiterte Netzwerkfunktionen, die eine bidirektionale Kommunikation über das Internet ermöglichen – das Abhören eingehender Befehle von einem Kontrollserver und das Senden von Daten an den Angreifer von jedem angeschlossenen Gerät zu.
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23949124/cfaife_220812_226139_0016.jpg "Das O․MG Elite-Kabel ist ein gruseliges und heimliches Hacking-Tool 1")
Was kann ich tun?
Ich möchte noch einmal betonen, dass dies ein völlig normal aussehendes USB-Kabel ist, dessen Leistung und Tarnung beeindruckend sind.
Zunächst einmal kann das O.MG-Kabel, wie das USB Rubber Ducky (das ich auch auf der Def Con getestet habe), Keystroke-Injection-Angriffe ausführen, einen Zielcomputer dazu bringen, zu glauben, es sei eine Tastatur, und dann Textbefehle eingeben. Damit hat er bereits eine riesige Bandbreite möglicher Angriffsvektoren: Über die Kommandozeile könnte er Softwareanwendungen starten, Malware herunterladen oder gespeicherte Chrome-Passwörter stehlen und über das Internet versenden.
Es enthält auch einen Keylogger: Wenn es zum Anschließen einer Tastatur an einen Host-Computer verwendet wird, kann das Kabel jeden durchlaufenden Tastendruck aufzeichnen und bis zu 650.000 Tastenanschläge für einen späteren Abruf im integrierten Speicher speichern. Ihr Passwort? In Verbindung gebracht. Bankkonto Daten? In Verbindung gebracht. Schlechte Entwürfe von Tweets, die Sie nicht senden wollten? Auch verbunden.
(Dies würde höchstwahrscheinlich physischen Zugriff auf einen Zielcomputer erfordern, aber es gibt viele Möglichkeiten, einen „Angriff der bösen Maid“ im wirklichen Leben auszuführen.)
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23970273/OMG_Cable_Xray.png "Das O․MG Elite-Kabel ist ein gruseliges und heimliches Hacking-Tool 2")
Zum Schluss noch etwas zu dem eingebauten Wi-Fi. Viele „Exfiltrations“-Angriffe – wie der oben erwähnte Chrome-Passwortdiebstahl – beruhen auf dem Senden von Daten über die Internetverbindung des Zielcomputers, die möglicherweise durch Antivirensoftware oder Konfigurationsregeln des Unternehmensnetzwerks blockiert wird. Die integrierte Netzwerkschnittstelle umgeht diese Schutzmaßnahmen und gibt dem Kabel einen eigenen Kommunikationskanal zum Senden und Empfangen von Daten und sogar eine Möglichkeit, Daten von Zielen zu stehlen, die „aus dem Weg“ sind, d. h. vollständig von externen Netzwerken getrennt sind.
Grundsätzlich kann dieses Kabel Ihre Geheimnisse preisgeben, ohne dass Sie es wissen.
Wie groß ist die Bedrohung?
Was am O.MG-Kabel beängstigend ist, ist, dass es äußerst diskret ist. Als ich das Kabel in der Hand hielt, gab es wirklich nichts, was mich misstrauisch machen könnte. Wenn es jemand als Handyladegerät angeboten hätte, hätte ich nicht gezögert. Mit einer Auswahl an Anschlüssen von Lightning, USB-A und USB-C kann es an fast jedes Zielgerät angepasst werden, einschließlich Windows, macOS, iPhone und Android, sodass es für viele verschiedene Umgebungen geeignet ist.
Für die meisten Menschen ist die Gefahr, gezielt angegriffen zu werden, jedoch sehr gering. Die Elite-Version kostet 179,99 US-Dollar, also ist es definitiv ein Tool für professionelle Penetrationstests, und nicht etwas, das ein einfacher Betrüger es sich leisten könnte, herumliegen zu lassen, in der Hoffnung, ein Ziel zu fangen. Dennoch sinken die Kosten im Laufe der Zeit, insbesondere bei einem optimierten Produktionsprozess. („Ich habe sie ursprünglich in meiner Garage von Hand hergestellt und es dauerte vier bis acht Stunden per Kabel“, erzählte mir MG. Jahre später kümmert sich jetzt eine Fabrik um die Montage.)
Alles in allem stehen die Chancen gut, dass Sie nicht mit einem O.MG-Kabel gehackt werden, es sei denn, es gibt etwas, das Sie zu einem wertvollen Ziel macht. Aber es ist eine gute Erinnerung daran, dass jeder, der Zugang zu vertraulichen Informationen hat, vorsichtig sein sollte, was er an einen Computer anschließt, selbst mit etwas so Harmlosem wie einem Kabel.
Könnte ich es selbst verwenden?
Ich hatte keine Gelegenheit, das O.MG-Kabel direkt zu testen, aber nach den Online-Setup-Anweisungen und meinen Erfahrungen mit dem Rubber Ducky zu urteilen, muss man kein Experte sein, um es zu verwenden.
Das Kabel erfordert eine anfängliche Einrichtung, z. B. das Flashen von Firmware auf das Gerät, kann dann aber über eine Webschnittstelle programmiert werden, auf die über einen Browser zugegriffen wird. Sie können Angriffsskripte in einer modifizierten Version von DuckyScript schreiben, derselben Programmiersprache, die auch von USB Rubber Ducky verwendet wird; Als ich dieses Produkt getestet habe, fand ich es ziemlich einfach, mich mit der Sprache vertraut zu machen, aber ich habe auch einige Dinge bemerkt, die einen unerfahrenen Programmierer stolpern lassen könnten.
In Anbetracht des Preises würde es als erstes Hacking-Gadget für die meisten Menschen keinen Sinn machen – aber mit ein wenig Zeit und Motivation könnte jemand mit einem grundlegenden technischen Hintergrund viele Möglichkeiten finden, es anzubringen.
Previously published on www.theverge.com
