Каждый из нас подключал к компьютеру мышь, клавиатуру или USB-кабель не задумываясь о рисках. На этом и играет злоумышленник: он не взламывает систему через сложную уязвимость, а входит через главную дверь — интерфейс. Парадокс в том, что чем привычнее выглядит гаджет, тем легче его пропускают службы безопасности. В результате внутри офиса может оказаться устройство, которое по документам — безобидная мышь, а по факту — управляемый из сети имплант с доступом к системе ввода. Сегодня предлагаю разобрать, из чего состоят такие трюки, чем отличаются BLE-маячки от HID-профилей и почему атаки через периферию до сих пор работают.
Что такое BLE-маячки и HID-профили: коротко, но по делу
Bluetooth Low Energy решает простую задачу: как обмениваться небольшими порциями данных, расходуя минимум энергии. Отсюда выросли маячки — маломощные передатчики, которые периодически подают в эфир короткие объявления. Эти объявления содержат идентификатор и ряд служебных полей. Сканер рядом, например смартфон или ноутбук, ловит их и уже по идентификатору обращается к приложению: показать подсказку в магазине, пометить зону на карте офиса или подсчитать посещаемость. Маячок не устанавливает полноценное соединение и не видит окружающих — он транслирует метки, которые удобно улавливать.
Семейство форматов у маяков разное: исторически известны iBeacon и Eddystone. На практике это детали упаковки одного и того же смысла — периодическая рассылка идентификатора с известной структурой. В корпоративной среде такие маяки применяют для внутренней навигации, инвентаризации и триггеров автоматизации. Стоят они недорого, питаются от таблеток-батареек месяцами, а иногда встраиваются прямо в периферию. И вот тут начинается интересное.
Помимо маяков у Bluetooth есть профиль HID over GATT: по сути это клавиатура или мышь по BLE, только оформленная так, чтобы экономить батарею и работать стабильно. Хост видит новое HID-устройство, принимает отчёты нажатий и относительных перемещений — всё как с USB, только по радио. Если атакующий подсунет ноутбуку невидимую клавиатуру, он получит легальный канал ввода команд без дополнительных запросов. В этом и сила маскарада: операционная система доверяет классу устройств, ради которого вообще придумывался HID.
Чтобы сложить картину, держим в голове три кирпича. Первый — маяк, который помогает найти, сориентироваться и незаметно сигналить о местоположении устройства. Второй — классический USB-HID, где кабель или донгл определяются как клавиатура или мышь и имеют право печатать. Третий — HID по BLE, где роль клавиатуры выполняет беспроводной профиль, а физической связи нет. Комбинация этих механизмов создаёт благодатную почву для атак, основанных на доверии к периферии.
Как атакуют через обычные мыши, кабели и донглы
Начнём с самого приземлённого — инъекции нажатий. Устройства семейства Rubber Ducky популярны у пентестеров много лет: вставляешь в порт — и система тут же распознаёт клавиатуру. Дальше дело техники: скрипт печатает команды, открывает терминал, тянет полезную нагрузку из сети, меняет политики и создаёт пользователя-призрака. Вся магия в том, что операционная система доверяет клавиатуре больше, чем накопителю: для HID не нужны драйверы, всплывающие окна и права администратора.
Ещё один класс — умные кабели. Внешне это обычный USB-шнур к телефону или мыши, внутри — миниатюрный модуль с радиоканалом и микроконтроллером. Такой кабель умеет притворяться клавиатурой, отправлять команды и вести кейлоггинг. В сценарии целевой атаки это может быть подарок на стойке ресепшн или забытая зарядка в переговорной. Пользователь подключает её на пять минут, а оператор атаки уже вбивает последовательность команд, открывая обратный канал связи.
Радиоканал тоже не отстаёт. История с MouseJack показала, что проприетарные протоколы беспроводных комплектов клавиатуры и мыши могут принимать подставные пакеты. Достаточно оказаться в радиусе нескольких метров, чтобы донгл внезапно начал слушать чужую клавиатуру, а не родную мышь. Дальше — та же инъекция: сотни символов в секунду, запуск скриптов и закрепление в системе. Плюс к этому остаётся риск компрометированной пары донгл и манипулятор из коробки: если злоумышленник заранее прошил приёмник, вы заметите это слишком поздно.
BLE добавляет гибкости. Маленький модуль с HID over GATT можно спрятать в корпус мыши, клавиатуры, USB-хаба или декоративного брелока. С виду — обычный гаджет, по факту — беспроводная клавиатура, которая активируется по таймеру, кнопке или по команде из эфира. В паре с маяком такой имплант ещё и помогает оператору понять местоположение: где он сейчас находится, в кабинет ли его принесли, не вынесли ли за пределы сети. Встречаются и гибриды: USB-донгл, который одновременно поднимает HID и BLE-маяк, обеспечивая и инъекцию, и трекинг.
Чтобы было наглядно, типовая цепочка выглядит так:
- Физический доступ: атакующий оставляет кабель-паразит или USB-донгл в офисе либо меняет штатную мышь на похожую.
- Маскировка: устройство определяет себя как HID-клавиатуру или мышь — политика компании обычно разрешает их по умолчанию.
- Инъекция: запускается заранее подготовленный сценарий нажатий — от открытия PowerShell до загрузки полезной нагрузки с сервера.
- Закрепление: создаётся задача планировщика, добавляется новый пользователь, настраивается обратный канал.
- Навигация: BLE-маячок помогает оператору понять, где находится девайс, и при необходимости активировать его повторно.
Отдельно стоит упомянуть сценарий с чужими руками. Беспроводные приёмники некоторых производителей поддерживают привязку новых устройств без явного согласия пользователя. Если удаётся инициировать пересопряжение, атакующий подсаживает свою клавиатуру в связку с доверенным донглом. Итог тот же — законный канал ввода на целевом ПК, который не ловится антивирусом и почти не оставляет следов в логах.
Как защищаться без паранойи, но эффективно
Хорошая новость в том, что эти атаки живут за счёт нестрогих политик и привычки пускать всех. Как только вводится базовая дисциплина устройств, поле для манёвра резко сужается. Начинают с инвентаризации: фиксируют все доверенные модели мышей и клавиатур, серийные номера донглов и допустимые классы USB. Дальше включают блокировку по умолчанию и белые списки. Это звучит скучно, зато работает: неизвестная клавиатура просто не поднимется в системе.
На Windows удобнее всего управлять этим через политики установки устройств и средство контроля устройств в составе корпоративной защиты. Можно запрещать целые классы, а можно разрешать только конкретные модели по идентификаторам оборудования. Для мобильного парка поверх этого добавляют раздачу политик через систему управления, чтобы новые правила доходили до ноутбуков без визита в офис. Если требуется гибкость, делают исключения по группам пользователей и сценариям.
Следующий слой — радио. Если в офисе легально используются BLE-маячки, для них выделяют отдельные шаблоны конфигурации с понятными интервалами рассылки и ожидаемыми идентификаторами. Любая лишняя болтовня в эфире — повод посмотреть, что это за умный брелок. Для HID по BLE правило простое: запрещаем профиль в корпоративной сети, если он не нужен бизнесу. На рабочих станциях он почти никогда не требуется, а риск от него серьёзный.
Не забываем про обновления беспроводных комплектов. У производителей есть утилиты для обновления микропрограммы приёмников и мышей — это недолгая операция, но она закрывает старые уязвимости и улучшает схему аутентификации периферии. Заодно стоит отключить универсальное сопряжение там, где оно не нужно, и пересобрать пары донгл и манипулятор заново после обновления. Вишенка на торте — визуальный контроль: убираем ничьи кабели, не оставляем зарядки без присмотра и учим сотрудников задавать простой вопрос чей это шнур.
Вот вам практическая памятка:
- Разрешайте HID-устройства только из белого списка по аппаратным идентификаторам. Для остальных классов, таких как накопители, модемы и камеры, включайте жёсткий запрет и точечные исключения.
- Отключайте HID over GATT на рабочих станциях, если профиль не используется по делу. Радиоканал — это невидимая поверхность атаки.
- Обновляйте прошивки беспроводных донглов и манипуляторов штатными утилитами производителя. После обновления перепривязывайте пары устройств.
- Проводите разведку эфира: фиксируйте разрешённые BLE-маяки и реагируйте на лишние объявления с непонятными идентификаторами.
- Уберите из офисов ничьи зарядные кабели и хабы. Закупайте фирменные аксессуары централизованно, маркируйте и ведите учёт.
- Учите сотрудников: HID — это не безобидная мелочь, а полноценный вход в систему. Любой новый донгл и чужой кабель — через IT.
И да, не стесняйтесь включать скучные политики — именно они лишают мышь-шпиона магии. Когда система перестаёт доверять всем клавиатурам подряд, любой изощрённый имплант внезапно становится просто бесполезной железкой.
