ヒューマンインターフェイス機器におけるハードウェアサプライチェーンの妥協:Nozomi Networks + ケベック州電力公社との共同研究

ヒューマンインターフェイス機器におけるハードウェアサプライチェーンの妥協:Nozomi Networks + ケベック州電力公社との共同研究

脅威者は,大規模な攻撃を仕掛けるために,サプライチェーンの安全性が低い部分に見られる脆弱性を活用している.このような攻撃は,電気エネルギー・プロバイダーや運輸業から医薬品製造業や食品製造業に至るまで,あらゆる機関や産業で発生する可能性があります.ソフトウェアサプライチェーン攻撃の詳細については,当社の2021年OT/IoT セキュリティレポートをご覧ください.

サイバー攻撃につながる可能性のあるサプライチェーンの侵害には,主に2つのタイプがある:

  1. ソフトウェア・サプライチェーンの 侵害は,脅威行為者が,組織が事業運営に依存しているサードパーティのソフトウェアを改ざんすることで発生します.これには,ベンダー・レベルでソフトウェアのアップデートを変更し,アップデートが配布されたときに,資産所有者が知らず知らずのうちに悪意のあるコードをネットワークにダウンロードしてしまうことも含まれる.CISAは,「情報通信技術(ICT)サプライチェーンの脆弱性の悪用は,システムの信頼性の問題,データの盗難と操作,マルウェアの拡散,ネットワーク内の持続的な不正アクセスにつながる可能性がある」と述べている.
  2. しかし,このブログでは,物理的なデバイスやそのコンポーネントがサプライチェーンの初期段階で変更された場合に発生する,ハードウェアのサプライチェーン侵害に焦点を当てます.この種の攻撃では,侵害されたコンポーネントは元のコンポーネントと同じように動作しますが,ターゲット・デバイスに悪意のあるペイロードを送信できるような追加機能を備えています.

オフィスや産業環境で見かけるマウス,キーボード,その他のUSBのような危殆化したヒューマン・インターフェース・デバイス(HID)は,物理的な攻撃を実行するために適応することができます.内部関係者が危殆化したキーボード/マウスをワークステーションやヒューマンマシンインターフェース(HMI)に接続した場合のサイバー物理的効果を想像してみてください.Nozomi Networks と Hydro-Québec Research Institute (IREQ)は,概念実証を目的として,侵害されたハードウェア・デバイスの検出,通知,適切な対策の推奨方法について説明します.

Nozomi Networks とIREQの共同研究プロジェクト

サプライチェーンのリスクは依然として非常に大きな影響を及ぼしており,プロセスの中断やサイバースパイにつながる可能性があります.Nozomi Networks ラボとIREQのサイバーセキュリティ研究チームは現在,現実世界の攻撃シナリオを再現し,サプライチェーン攻撃の検知,サイバーセキュリティリスクの低減,資産所有者とセキュリティエンジニアへの完全な可視化に貢献する技術の開発に役立てています.

チャレンジ

産業事業者が直面している現在の課題は,サプライチェーンの侵害にさらされる可能性のある重要機器内部の可視性が限られていることである.この課題に対処するため,Nozomi Networks LabsはIREQと最先端のサイバーセキュリティ研究プロジェクトに取り組んでいる.この研究プロジェクトでは,標的のマシンに接続されると悪意のあるペイロードを実行する侵害されたUSBデバイスを構築することで,より複雑な攻撃シナリオの構成要素となり得るハードウェアのサプライチェーン侵害を検出する方法に関する洞察を提供しています.

リサーチ

調査の準備のため,Nozomi Networks Labsは,サプライチェーンの危殆化の例を実証するために必要なハードウェアを購入した(図1):

  1. トラストUSBキーボードをベースとしたデバイスで,産業施設で一般的に使用されている,
  2. 悪意のあるペイロードの自動注入に使用されたRaspberry Pi Zero.
  3. クラシックな光学式マウス.
研究プロジェクトのハードウェア(左から)Trust USBキーボード,Raspberry Pi Zero,光学式マウス.
図1 - 研究プロジェクトのハードウェア(左から右へ)Trust USBキーボード,Raspberry Pi Zero,光学式マウス.

Raspberry Piは,USBケーブル1本でPCに接続できるように,両方のターゲット・デバイスに簡単に組み込むことができます.USBコントローラーとRaspberry Piを1本のケーブルで接続するには,2つの異なるアプローチがあります.1つ目のアプローチは,Raspberry PiとデバイスのUSBケーブルから入力を受け取る小さなUSBハブを活用するもので,2つ目のアプローチは,すべての機能キーをRaspberry Piの汎用入出力(GPIO)にマッピングするものです.どちらのアプローチにも長所と短所がある:

アプローチ1: 研究の最初の段階では,以下の画像に示すように,古典的な光学式マウスの内部に悪意のあるハードウェアを追加することで,最初のアプローチを模索し始めた.

この方法は,Raspberry Piと小さなUSBハブモデルをホストするスペースをキーボードに作ることで簡単に実装できる.USBケーブルが接続され,Raspberry Piが適切にプログラムされれば,Raspberry Piとデバイスの両方を同時に使用することができる.この方法の欠点は,このような危険なハードウェアの検出が非常に簡単であることだ.実際,キーボードがPCに接続されたときに追加されるHIDの数を数えるだけで可能だ.

光学式マウスに埋め込まれた悪意のあるハードウェア
図2aおよび2b-光学式マウスに埋め込まれた悪意のあるハードウェア

光学式マウスに埋め込まれた悪意のあるハードウェア

アプローチ2:2番目のアプローチ(キーボードに基づく)は,すべてのキーボードのキーをRaspberry PiのGPIOにマッピングすることで,ハードウェアの検出を少し難しくすることを目的としています.最初のアプローチとは異なり,このアプローチのPCは,接続されたHIDの数をカウントすることによって,悪意のあるハードウェアを検出する能力を持っていません.このアプローチではキーボードのUSBコントローラーは使用されず,キーはRaspberry Piに直接接続されるため,Raspberry PiのUSBインターフェースが検出され,HID自体は検出されません.このアプローチの欠点は,接続の複雑さです.

私たちは,検出が困難なシナリオを作成することを目的とした,2つ目の,より挑戦的なアプローチを検討することで,研究の複雑さを拡大することにしました.それでは,ハードウェアの実装を詳しく見ていきましょう.

内蔵USBキーボード
図3 - 内蔵USBキーボード

ハードウェアの実装

内蔵USBキーボード(図3)は,キーの接続部,USBコントローラー,導電性トラックを含む2つのプラスチック層をホスティングする小さなプリント基板(PCB)で構成されています.キーボード・レイアウトは,行と列からなるマトリックスのようなもので,各キーは接続されている行と列によって識別されます.そのため,キーが押されると,PCB内の1点で接する2つの層が短絡する.こうしてUSBコントローラーは,特定のキーが押されたことを処理する.

キーボードUSBコントローラー
図4 - キーボードUSBコントローラー
Raspberry Piを使ったキーボードの危殆化
図5 - Raspberry Piを使った不正なキーボード

妥協したキーボードを作るには,PCBを複製する必要があったため,USBコントローラーを埋め込む代わりに(図4),プラスチック層の接続だけを再現し,Raspberry Piへの接続を容易にした.

図3にあるように,キーボード・マトリックスは8行18列で構成されているため,26個の接続(英語のアルファベット26文字分)をRaspberry PiのGPIOにマッピングする必要がある.Raspberry Pi Zeroにはちょうど26個の設定可能なGPIOがあるので,このアプリケーションには最適でした.

図5は,キーボードから26本のジャンパー・ワイヤーをラズベリー・パイのGPIOに接続した状態を示している.ラズベリー・パイからは1本のUSBケーブルだけがPCに接続されるため,オペレーティングシステムはラズベリーから生成された「偽」のHIDだけを検出する.USBが接続されると,Raspberry Piはターゲットマシンに実行される一連の定義済み入力(Powershellコマンドなど)を送信する.悪意のあるペイロードがターゲット・マシンで実行を開始するためには,侵害されたキーボードを一度だけ接続すれば十分であり,これによりRaspberry Piは,キーボードが検出されないまま,GPIOを通じてキー入力をプロキシできるようになる.

この研究の目的は,複数の攻撃シナリオにおいて,侵害されたHIDを検出する最善の方法に焦点を当てることである.私たちのロードマップにおける重要なステップの1つは,キーボードの内側に配置できるほど小さなハードウェアを構築し,悪意のあるコンポーネントが完全に隠れるようにすることです.

調査結果

以下,図6は悪意のあるキーボードがPCに接続される前のList USBコマンドlsusbの出力を示し,図7は悪意のあるキーボードがPCに接続された後のlsusbの出力を示す.図7は,Raspberry Piを介してPCに接続された不正なキーボードが,キーボードの名前とシリアル番号を変更/作成できることから,正当なものとしてリストアップされています.最後に,追加のHIDが1つしか存在しないことから,余分なハードウェアがオペレーティングシステムから見えないことが確認され,操作者に発見される可能性が低くなっています.

ListUSBコマンドの出力 lsusb
図6 -List USBコマンドlsusbの出力
悪意のあるキーボードがPCに接続された後のlsusbの出力
図7-悪意のあるキーボードがPCに接続された後のlsusbの出力

次のステップ

Nozomi Networks IREQは現在,検出が困難なシナリオを含め,PCからは合法的に見える悪意のあるデバイスを検出するための新技術を開発することを目的とした概念実証に取り組んでいる.攻撃者は悪意のあるコードを可能な限り速く実行したいと考える可能性があるため,悪意のあるデバイスを検出する有望なアプローチはタイピング率です.コードを実行するタイピング率が高すぎると,人間である可能性が低くなります.Nozomi Networks ,IREQサイバーセキュリティ研究チームは,HIDサプライチェーンの侵害を検出するためのさらなる方法を探求し続け,資産所有者をサポートするソリューションに取り組み,将来的にはより多くの洞察を共有する予定です.ご期待ください.

見つかりませんでした.
見つかりませんでした.
見つかりませんでした.