редакции
Хакеры взламывают корпоративные сети с помощью дронов
И это новый тип атаки, который недавно казался только теорией. За последние несколько лет беспилотные летательные аппараты стали гораздо более способными, что делает их жизнеспособным вариантом для скрытого размещения оборудования для вторжения вблизи сети. Когда-то это была просто область теоретических исследований в области безопасности, а теперь хакерские дроны встречаются в «дикой природе».
Скомпрометированная частная инвестиционная фирма сохранила инцидент в тайне, но согласилась рассказать о нем исследователям безопасности в соответствии с соглашением о неразглашении.
Во время расследования инцидента сотрудники службы безопасности обнаружили два беспилотных летательных аппарата на крыше здания. Одним из них был «модифицированный DJI Matrice 600», а другим — «модифицированный DJI Phantom». Matrice потерпела крушение, но все еще была работоспособна, а «Phantom» благополучно приземлился.
Matrice была оснащена набором для пенатрации (pen kit), состоящим из Raspberry Pi, мини-ноутбука GDP, 4G-модема, устройства Wi-Fi и нескольких батарей. Phantom нес устройство для тестирования проникновения в сеть, разработанное компанией Hak5, под названием WiFi Pineapple.
Исследователь безопасности Грег Линарес, который беседовал с ИТ-командой фирмы, сказал, что злоумышленники использовали Phantom за несколько дней до атаки, чтобы перехватить учетные данные сотрудника и Wi-Fi. Затем они закодировали украденную информацию в оборудование для проникновения дрона Matrice.
Беспилотник Matrice взломал страницу Confluence компании с крыши, используя MAC-адрес сотрудника и учетные данные для доступа. Они копались в журналах слияния, пытаясь украсть больше логинов для подключения к другим внутренним устройствам, но имели «ограниченный успех».
Администраторы поняли, что сеть подверглась атаке, когда заметили, что MAC-адрес скомпрометированного сотрудника был зарегистрирован локально и из его дома, расположенного в нескольких милях. Команда безопасности изолировала сигнал Wi-Fi и использовала тестер Fluke, чтобы отследить и определить местонахождение устройства на крыше.
Первый беспилотник перехватил учетную запись сотрудника за несколько дней до атаки, после чего кто-то поместил эти украденные данные в ПО и устройства, развернутые вторым дроном.
Линарес сказал, что это третья кибератака с использованием беспилотников, которую он наблюдал за последние два года, но говорит, что вектор атаки все еще нуждается в доработке. Единственная причина, по которой этот проект имел некоторый успех, заключалась в том, что компания работала во временной сети, которая не была полностью защищена.
Злоумышленники специально нацелились на сеть с ограниченным доступом, используемую как третьей стороной, так и внутри компании, которая не была защищена из-за недавних изменений в компании (например, реструктуризация / ребрендинг, новое здание, аренда нового здания, настройка новой сети или комбинация любого из этих сценариев),
Даже в этой ослабленной сети атака все еще потребовала недель «внутренней разведки».
Это определенно был субъект угрозы, который, вероятно, проводил внутреннюю разведку в течение нескольких недель, имел физическую близость к целевой среде, имел надлежащий бюджет и знал об ограничениях своей физической безопасности,
Сегодня беспилотные летательные аппараты стали гораздо более совершенными и мощными, как видно из этого примера. Дальнейшее развитие беспилотных летательных аппаратов и совершенствование этого вектора атаки могут сделать его более серьезной угрозой в ближайшие годы.
