В Telegram и даркнете рекламируют ПО для Raspberry Pi под названием GEOBOX, которое обещает превратить одноплатник в настоящий хакерский инструмент для анонимных кибератак. Исследователи компании Resecurity обнаружили GEOBOX в ходе расследования громкой кражи банковских данных, затронувшей неназванную компанию из списка Fortune.
GEOBOX представляет собой пакет приложений для хакеров, ориентированных на мошенничество и анонимизацию. Он распространяется через Telegram-каналы по подписке, и его цена составляет 80 долларов в месяц или 700 долларов за пожизненную лицензию.
«Это открытие заставило нас приобрести GEOBOX для более глубокого изучения. [В ходе изученной атаки] злоумышленники использовали несколько устройств с GEOBOX, каждое из которых было подключено к интернету и стратегически расположено в различных удаленных местах, — рассказывают эксперты. — Эти устройства выполняли роль прокси, что значительно повысило анонимность. Такой подход усложнил процесс расследование атаки и отслеживания [злоумышленников], тем более что по умолчанию устройства с GEOBOX не хранят никаких логов».
Теперь, после того как исследователи приобрели GEOBOX для анализа, они пишут, что это мощный инструмент, который может существенно усложнить отслеживание и расследование атак для правоохранительных органов.
Так как Raspberry Pi — это недорогое, маленькое и легкое устройство, злоумышленники могут с легкостью перемещаться с ним, подключаясь к различным точкам доступа и скрывать свои следы. Также небольшие размеры позволяют без труда спрятать девайс, что, по словам экспертов, идеально подходит для атак, где нужно приблизиться к цели, не вызывая подозрений.
Resecurity перечисляет следующие возможности GEOBOX:
- подмена GPS даже на устройствах без ресивера, что позволяет подделывать данные о географическом положении, обходить системы безопасности и заниматься мошенничеством, зависящим от конкретного местоположения;
- эмуляция определенных сетевых настроек и точек доступа Wi-Fi для маскировки незаконных действий под легитимный сетевой трафик;
- обход антифрод-систем для финансового мошенничества и кражи личных данных;
- маршрутизация трафика через анонимизирующие прокси для сокрытия местоположения;
- WebRTC маскировка для IP и маскировка MAC-адресов Wi-Fi для сокрытия реального IP-адреса пользователя и имитации идентификаторов различных сетей Wi-Fi, что затрудняет отслеживание цифровых следов;
- широкая поддержка VPN-протоколов, включая настройки DNS для определенных мест, чтобы предотвратить утечки данных;
- поддержка LTE-модемов для подключения к мобильному интернету, что добавляет еще один уровень анонимности.
Подчеркивается, что при этом все перечисленные инструменты упакованы user-friendly среду, и их сможет использовать даже плохо подготовленный злоумышленник, получивший четкие и подробные инструкции, например, из прилагаемого детального руководства (полный мануал приложен к отчету Resecurity).
Resecurity предупреждает, что GEOBOX может способствовать совершению самых разных киберпреступлений, в частности, помогая своим пользователям сохранять анонимность. В качестве примеров приводятся координация кибератак, операции на даркнет-маркетплейсах и доступ к ним, финансовые махинации, атаки типа credential stuffing, распространение малвари и кампании по распространению дезинформации.
Хотя GEOBOX не предлагает никаких новых функций, которые нельзя было бы реализовать с помощью отдельных инструментов или специализированных дистрибутивов, вроде Kali Linux, исследователи опасаются, что такой plug-and-play девайс может оказаться даже слишком простым и удобным для начинающих и плохо квалифицированных преступников, снижая планку для многих видов незаконной деятельности.
