IBM научилась взламывать чужие корпоративные сети с помощью курьерской доставки
Специалисты по кибербезопасности IBM продемонстрировали способ взламывать чужие корпоративные сети с помощью небольшого устройства, которое легко спрятать в почтовых коробках.«Троянская» служба доставки
Эксперты IBM X-Force Red Team описали методику, посредством которой киберзлоумышленники могут проникнуть в любую домашнюю или корпоративную локальную сеть и выкрасть конфиденциальные данные.
Методика очень простая, при этом вектор взлома неожиданный: физические курьерские доставки.
Службы доставок с курьером любых товаров - в первую очередь, из интернет-магазинов, - сегодня весьма распространены по всему миру. В крупные корпорации ежедневно могут доставляться десятки, если не сотни посылок. Спрятать в них шпионское устройство проще, чем кажется, особенно если оно невелико по размерам.
Метод получил название Warshipping - трудно переводимый термин своеобразного происхождения. Его источник отслеживается к фильму «Военные игры» (WarGames) 1983 г., в котором главный герой - юный хакер настраивает свой компьютер на поочередный автоматический обзвон всех телефонов в окрестностях в надежде наткнуться на подключенный телефонный модем и проникнуть в какую-либо компьютерную сеть. Эта методика получила название WarDialing (Dialing - набор телефонного номера).
чужие корпоративные сети с помощью службы доставки и одноплатного компьютера
От него впоследствии произошло название для другого метода - WarDriving, при котором хакер катается в автомобиле в окрестностях корпоративных зданий в попытках собрать информацию о Wi-Fi-соединениях с помощью сканера (на автомобиль при этом устанавливается специальная антенна). С помощью такой техники хакеры смогли организовать крупную утечку данных из компании TJX в 2005 г., стоившей ей $2 млрд.
Слово War в WarShipping - это как раз отсылка к вышеописанным методам поиска точек входа в сети; Shipping - это доставка груза или товара. При этом устройства, описанные экспертами IBM, получили название WarShips (буквально «военные корабли»), хотя к кораблям они как раз никакого отношения не имеют. Скорее речь идет о физических «троянских конях».
Все из серийных компонентов
Эксперты IBM создали такое устройство. Оно состоит из модифицированного одноплатного компьютера, питающегося от телефонного аккумулятора и снабженного 3G-модемом и GPS-трекером.
Одноплатные компьютеры - довольно дешевая вещь, однако у них есть одна ограничивающая особенность: они потребляют весьма много энергии. Тем не менее, экспертам удалось заставить их расходовать заряд экономно в активном режиме, и не использовать электричество вообще в спящем режиме.
«Используя IoT-модем мы также смогли добиться того, что связь с устройством сохранялась, пока его перевозили, и мы могли обмениваться данными с ним при каждом его включении, - пишут авторы исследования. - Мы также подняли специальный командный сервер, и построенные нами устройства запрашивали через безопасное соединение конкретный файл на это сервере, чтобы определить, должны они оставаться в активном режиме или уйти в спящий. Учитывая, что все используемые компоненты производятся серийно, «бюджет» создания устройства оказывается менее ста долларов».
В процессе транспортировки устройство время от времени будет опрашивать беспроводные соединения в пределах доступности, так же, как это делает, например, ноутбук; а заодно передавать на C&C-сервер свои локальные GPS-координаты.
После того как устройство доставлено по месту назначения (будучи так или иначе спрятанным), его операторы могут начать активное или пассивное сканирование беспроводной сети. Цель таких атак - перехватить данные, которые затем можно взломать на более производительной аппаратуре, например, хэши, из которых в теории можно извлечь предопределенный ключ безопасности для беспроводной сети (экспертам X-Force Red удалось это сделать).
«С помощью нашего устройства мы могли устраивать и другие активные беспроводные атаки, такие, например, как деаутентификация клиентов и «злой двойник», - отметили специалисты X-Force Red. - С помощью «злого двойника» мы подняли с помощью нашего устройства фальшивую беспроводную сеть и заманили в нее жертву. Та ввела реквизиты доступа к реальной сети, которые мы использовали в дальнейшем для развития атаки против беспроводной сети компании».
После этого эксперты X-Force Red Team получили возможность использовать другие уязвимости в локальных ресурсах для компрометации различных устройств (например, гаджетов сотрудника) и обеспечить себе постоянное нахождение в сети.
В ходе тестирования специалистам X-Force Red Team удалось добиться устойчивого присутствия в сети и полного доступа к ресурсам компании, принимавшей участие в исследовании.
«Описанный сценарий выглядит совершенно реалистичным и легко исполнимым, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Эта история - очередное напоминание, что прорыв защитного периметра может произойти в самых неожиданных местах и самым неожиданным образом. Собственно, для выявления таких неявных слабых мест и существуют пентесты».
Защита от свиноподкладывания
Эксперты порекомендовали принять ряд мер для борьбы с подобными ситуациями.
Перво-наперво - проверять посылки таким же образом, как проверяют визитеров. Ничего не должно попадать в офисные помещения «просто так». От пустых коробок стоит избавляться как можно скорее, поскольку в них подобные устройства легко спрятать (достаточно прикрепить их ко дну).
Рекомендуется установить специальный режим безопасности для посылок, которые доставляют лично работникам компании. Если такую политику вводить по каким-то причинам оказывается невозможным, стоит хотя бы досматривать упаковки. Или даже сканировать - особенно в крупных экспедиторских помещениях.
Подключаться следует только к доверенным беспроводным сетям - и избегать тех, которые могут вызывать хотя бы минимальные подозрения.
Эксперты также рекомендуют избегать использования предопределенных ключей в корпоративных средах и регулярно проводить пентесты.