Enquête sur un dongle RJ45 « malveillant »

 (lcamtuf.substack.com)
1 points par GN⁺ 2025-01-18 | 1 commentaires | Partager sur WhatsApp

Enquête sur un dongle RJ45 « malveillant »

  • Rétro-ingénierie matérielle
    La rétro-ingénierie matérielle peut être difficile, mais parfois, un fauteuil confortable et Google Traduction suffisent.

  • La réalité des attaques de la chaîne d’approvisionnement
    En sécurité de l’information, les attaques de la chaîne d’approvisionnement sont complexes et risquées, et ne sont généralement utilisées que lorsqu’il n’existe pas d’autre méthode. Dans la plupart des cas, il est plus facile de voler des identifiants ou de pousser au téléchargement de fichiers malveillants.

  • L’agitation sur les réseaux sociaux
    Un jeune entrepreneur a fait parler de lui sur les réseaux sociaux en affirmant qu’un adaptateur Ethernet-USB acheté en Chine était rempli de logiciels malveillants. Il s’est toutefois avéré qu’il s’agissait d’une mauvaise information.

  • Analyse du pilote
    Le pilote en question est destiné à une puce RJ45-to-USB de CoreChips Shenzhen, dans une version signée publiquement. Il serait vraisemblablement une copie du Realtek RTL8152B.

  • Contexte historique
    Le pilote repose sur une ancienne conception publiée en 2013. À l’époque, les lecteurs CD-ROM disparaissaient progressivement, mais tous les ordinateurs n’étaient pas en permanence connectés à Internet. Il était donc logique qu’un appareil se présente comme un périphérique de stockage de masse contenant son propre pilote.

  • Le rôle de la mémoire flash
    La nécessité de disposer de 512 kB de mémoire flash sur l’appareil soulève des questions. On ne sait pas clairement s’il s’agit de stocker le firmware ou si elle sert à autre chose.

  • Documentation de conception du SR9900
    La documentation de conception du SR9900 confirme que la puce flash peut être utilisée comme lecteur optique virtuel. Cela sert à l’installation du pilote.

  • Conclusion
    Ce qui est étrange n’est pas toujours mauvais. Même sans laboratoire matériel, il est possible d’enquêter avec suffisamment de patience et de bonnes capacités de recherche. Cependant, le code interne de l’IC SR9900 lui-même reste inconnu.

  • Préoccupations de sécurité
    Dans certaines situations, le risque de dongles USB malveillants peut exister, mais dans un réseau domestique classique, il n’y a pas lieu de trop s’inquiéter.

À lire aussi

1 commentaires

 
GN⁺ 2025-01-18
Avis Hacker News

  • La mention qu’il faut au minimum un Intel Pentium 166MHz est amusante. J’aime ce genre où « des gens intelligents mais un peu ennuyeux déploient une créativité et une persévérance étonnantes pour obtenir un résultat manifestement évident au regard du bon sens »

    • En voyant un tweet sur le dongle « Evil », quelqu’un a reconnu que c’était la même chose que ce sur quoi il avait travaillé auparavant. Ce n’est pas malveillant, juste pénible
    • Il avait désactivé le module de flash SPI pour qu’il n’apparaisse pas comme un lecteur CD, et l’auteur du billet a découvert dans la documentation que le SPI était optionnel. Ce billet fournit en réalité un outil permettant de reflasher le dongle RJ45 pour le rendre « malveillant »

  • Certains apprécient le fait qu’un périphérique USB se fasse passer pour un support de stockage afin de fournir son propre pilote. Aujourd’hui, la méthode « correcte » consiste peut-être à l’envoyer sur les serveurs de Microsoft pour télécharger ce qu’il faut, mais on constate qu’il faut encore souvent installer les pilotes manuellement

    • Ils trouvent astucieux qu’un périphérique aide à l’amorçage, et si le pilote est intégré à l’appareil, c’est plus simple que de chercher une source de téléchargement standard

  • Il était courant d’ajouter une petite mémoire flash à un circuit intégré de périphérique USB pour stocker le VID/PID et d’autres informations de configuration USB. 512kB était peut-être la plus petite capacité facile à obtenir via la chaîne d’approvisionnement

    • La méthode ISO est un peu étrange, mais c’est une façon créative de contourner les politiques de sécurité IT en entreprise qui limitent les périphériques USB de stockage de masse. S’il est énuméré comme périphérique composite, on peut installer le pilote même sur un ordinateur où les clés USB sont bloquées

  • Quelqu’un estime qu’il faudrait appeler le RJ45 « 8P8C »

  • Un commentaire lié mentionne que des adaptateurs USB vers Ethernet RJ45 bon marché peuvent contenir des logiciels malveillants

  • Des dongles USB Ethernet « malveillants » peuvent exister, en lien avec le produit LAN Turtle de Hak5

  • Il y a plusieurs décennies, le stockage embarqué était très courant, surtout sur les modems USB 3G. On pouvait l’activer ou le désactiver avec des commandes AT

    • L’origine de la théorie du « piratage chinois » vient peut-être du fait que les plus jeunes ne connaissent pas ces vieilleries

  • Il est très difficile de faire une connexion nuisible sur un port Ethernet, mais très facile d’en faire une sur un port USB. Il est donc approprié d’appeler cela un dongle USB « malveillant »