日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
O․MG Elite ケーブルは恐ろしいほどステルスなハッカー ツールです
コリン・ファイフェ著
デフコンに行くまではUSBケーブルが怖いとは思いませんでした。 しかし、私が初めて O.MG ケーブルについて知りました。 悪名高いハッカー会議で発表されたエリート ケーブルは、技術的能力とその極めてステルスなデザインの組み合わせに驚かされました。
簡単に言えば、ターゲットの期待通りに動作しないケーブルを使用すると、多大な損害を与える可能性があります。
それは、普通の、何の変哲もない USB ケーブルです。あるいは、ハッカーがそう思わせたいのかもしれません。
「これは、すでにお持ちの他のケーブルと同じように見えるケーブルです」と、このケーブルの作成者である MG は説明します。 「しかし、各ケーブルの中に、Web サーバー、USB 通信、Wi-Fi アクセスを備えたインプラントを埋め込んでいます。つまり、プラグを差し込んで電源を入れれば、接続できるのです。」
つまり、この何の変哲もないように見えるケーブルは、実際には、そこを通過するデータを覗き見し、接続されている電話やコンピュータにコマンドを送信するように設計されているということです。 そしてはい、ケーブル自体に Wi-Fi アクセス ポイントが組み込まれています。 この機能は元のケーブルにも存在していましたが、最新バージョンには拡張されたネットワーク機能が搭載されており、インターネットを介した双方向通信が可能になり、制御サーバーからの受信コマンドをリッスンし、接続されているデバイスから攻撃者にデータを送信できます。
もう一度強調しますが、これはまったく普通の見た目の USB ケーブルであり、そのパワーとステルス性は印象的です。
まず、USB ラバー ダッキー (これも Def Con でテストしました) と同様に、O.MG ケーブルはキーストローク インジェクション攻撃を実行でき、ターゲット マシンをだましてキーボードだと思い込ませ、テキスト コマンドを入力します。 これにより、すでに膨大な範囲の攻撃ベクトルが可能になっています。コマンド ラインを使用して、ソフトウェア アプリケーションを起動したり、マルウェアをダウンロードしたり、保存されている Chrome パスワードを盗んでインターネット上に送信したりする可能性があります。
また、キーロガーも含まれています。キーボードをホスト コンピュータに接続するために使用すると、ケーブルを通過するすべてのキーストロークを記録し、後で取得できるようにオンボード ストレージに最大 650,000 個のキー エントリを保存できます。 あなたのパスワード? ログに記録されました。 銀行口座の詳細? ログに記録されました。 送信したくなかった下書きのツイートがありましたか? ログも記録されています。
(これにはおそらくターゲット マシンへの物理的なアクセスが必要ですが、現実には「邪悪なメイド攻撃」を実行する方法は数多くあります。)
最後に内蔵Wi-Fiについて。 前述の Chrome パスワード盗難のような多くの「引き出し」攻撃は、ターゲット マシンのインターネット接続経由でデータを送信することに依存しているため、ウイルス対策ソフトウェアや企業ネットワークの構成ルールによってブロックされるリスクがあります。 オンボードネットワークインターフェースはこれらの保護を回避し、データを送受信するための独自の通信チャネルをケーブルに提供し、「エアギャップ」、つまり外部ネットワークから完全に切断されたターゲットからデータを盗む方法さえも提供します。
基本的に、このケーブルは、知らない間に秘密を漏らす可能性があります。
O.MG ケーブルの恐ろしい点は、非常に秘密であることです。 ケーブルを手に持ってみると、本当に何も疑う余地はありませんでした。 もし誰かがそれを携帯電話の充電器として提供してくれたら、私は何も考えなかったでしょう。 Lightning、USB-A、USB-C から接続を選択できるため、Windows、macOS、iPhone、Android を含むほぼすべてのターゲット デバイスに適応できるため、さまざまな環境に適しています。
このケーブルはあなたの秘密を漏らす可能性があります
しかし、ほとんどの人にとって、標的にされる脅威は非常に低いです。 Elite バージョンの価格は 179.99 ドルなので、これは間違いなくプロの侵入テスト用のツールであり、低レベルの詐欺師がターゲットを罠にかけることを期待して放置しておく余裕のあるものではありません。 それでも、コストは時間の経過とともに、特に合理化された生産プロセスでは低下する傾向があります。 (「最初はガレージで手作りしていましたが、ケーブル 1 本あたり 4 ~ 8 時間かかりました」と MG 氏は言いました。数年後、現在は工場で組み立てが行われています。)
全体として、あなたが貴重な標的となる何かがない限り、O.MG ケーブルでハッキングされる可能性はありません。 しかし、機密情報にアクセスできる人は、たとえケーブルのような無害なものであっても、コンピュータに接続するものには注意する必要があることを思い出させてくれるでしょう。
O.MG ケーブルを直接テストする機会はありませんでしたが、オンラインのセットアップ手順とラバーダッキーの経験から判断すると、使用するのに専門家である必要はありません。
ケーブルには、ファームウェアをデバイスにフラッシュするなどの初期セットアップが必要ですが、ブラウザからアクセスできる Web インターフェイスを通じてプログラムできます。 USBラバーダッキーで使用されているのと同じプログラミング言語であるDuckyScriptの修正バージョンで攻撃スクリプトを作成できます。 この製品をテストしたところ、言語を理解するのは簡単であることがわかりましたが、経験の浅いプログラマーがつまずく可能性のあるいくつかの点にも気づきました。
価格を考えると、ほとんどの人にとって、これは最初のハッキング ガジェットとしては意味がありません。しかし、少しの時間とやる気があれば、基本的な技術的素養がある人なら、それを機能させるさまざまな方法を見つけることができます。
/ Verge Deals にサインアップすると、テスト済みの製品に関するセールが毎日受信箱に送信されます。