ИБ-специалист Грег Линарес (Greg Linares) рассказал об интересной атаке, произошедшей летом текущего года. Неназванная финансовая компания из США обнаружила, что на крышу ее офиса приземлились модифицированные дроны DJI Matrice 600 и DJI Phantom, оснащенные пентестерским девайсом WiFi Pineapple, и пытались использовать MAC-адрес одного из сотрудников.

Об этой нестандартной атаке Линарес поведал в Twitter, при этом отказавшись сообщить название пострадавшей компании. Журналисты издания The Register проверили историю специалиста сами, связавшись с представителями компании-жертвы, и подтверждают, что попытка взлома при помощи модифицированных дронов действительно имела место.

Нужно сказать, что исследователи давно предупреждают и строят теории о хакерском потенциале беспилотников. После того как в продаже появились доступные потребительские квадрокоптеры, эта тема не раз поднималась на ИБ-конференциях, таких как Black Hat, как в США, так и в Европе.

Напомню, что еще в 2013 году известный исследователь Сэми Камкар (Samy Kamkar) показывал свой дрон SkyJack, который оснащался Raspberry Pi для захвата других дронов через Wi-Fi. А в 2017 году DIY-энтузиаст Наоми Ву (Naomi Wu) продемонстрировала проект под названием Screaming Fist, так же направленный на создание хакерского квадрокоптера. Пару лет назад и мы посвятили захвату дронов большую статью, которую ты можешь найти здесь.

Однако теперь проблема переходит из теорий в реальность. Линарес рассказывает, что все началось с того, что компания-жертва обнаружила необычную активность на внутренней странице Atlassian Confluence, которая исходила из сети компании.

Служба безопасности отреагировала быстро и обнаружила, что сотрудник, MAC-адрес которого использовался для частичного доступа к Wi-Fi-сети компании, также вошел в систему дома за много километров от офиса. То есть пользователь был активен за пределами офиса, но кто-то, находившийся в радиусе действия Wi-Fi-сети здания, пытался использовать его MAC-адрес.

Тогда команда попыталась отследить Wi-Fi-сигнал, использовав для идентификации устройства систему Fluke. Это привело защитников на крышу здания, где одни обнаружили модифицированных дронов DJI Matrice 600 и DJI Phantom.

По словам Линареса, Phantom был в отличном состоянии и имел на борту модифицированное пентестерское устройство WiFi Pineapple. Дрон Matrice и вовсе принес кейс, в котором находились Raspberry Pi, несколько аккумуляторов, мини-ноутбук GPD, 4G-модем и еще один Wi-Fi девайс. Этот беспилотник приземлился рядом с системой отопления и вентиляции здания и выглядел поврежденным, хотя тоже работал.

«В ходе расследования было установлено, что изначально дрон DJI Phantom использовался за несколько дней до этой атаки для перехвата учетных данных и Wi-Fi сотрудника. Эти данные позже жестко запрограммировали в инструменты, которые были развернуты с помощью Matrice», — объясняет Линарес.

По словам эксперта, инструменты на дронах использовались для прицельной атаки на внутреннюю страницу Confluence компании, в попытке получить доступ к другим внутренним устройствам и хранящимся там учетными данным.

«Злоумышленники специально нацеливаются на сети с ограниченным доступом, используемые как третьими сторонами, так и внутри компании, и которые плохо защищены из-за каких-то недавних изменений в компании (например, реструктуризация/ребрендинг, переезд в новое здание, новые настройки сети или сочетание этих сценариев)», — рассказывает специалист. — По этой причине временная сеть, к сожалению, имела ограниченный доступ для входа в систему (учетные данные + MAC). Злоумышленники использовали атаку для доступа к внутреннему серверу Confluence, который содержал другие учетные данные для доступа к другим ресурсам».

Аналитик считает, что злоумышленники хорошо подготовились к своей атаке: несколько недель потратили на разведку, находились неподалеку от целевой среды, имели неплохой бюджет и знали, с каким ограничениями по части физической безопасности им придется столкнуться.

Линарес подытоживает, что эта атака имела «ограниченный успех», но стала уже третьей кибератакой с участием дрона, которую лично он наблюдал за последние два года.

«Сейчас, в 2022 году, мы наблюдаем по-настоящему удивительные достижения дронов в областях мощности, дальности и возможностей (например, удивительные шоу синхронизированных беспилотников в Китае, они просто фантастические).

Вместе с тем варианты полезных нагрузок для дронов становятся все меньше и эффективнее (например Flipper Zero), и это создает жизнеспособные модели атак, которые целесообразно применять в реальности. Компании, работающие в областях финтеха, крипты и цепочки поставок, а также важные поставщики программного обеспечения могут стать идеальными целями для таких атак, где злоумышленник может легко покрыть свои эксплуатационные расходы за счет немедленной финансовой выгоды или доступа к более перспективным целям», — резюмирует эксперт.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии