Спробы кібер-злачынцаў пагражаць ІТ-сістэмам увесь час удасканальваюцца. Напрыклад, сярод тэхнік, якія мы бачылі сёлета, варта адзначыць на тысячах сайтах электроннай камерцыі для крадзяжу персанальных дадзеных і выкарыстанне LinkedIn для ўстаноўкі шпіёнскага ПЗ. Больш за тое, гэтыя тэхнікі працуюць: урон ад кібер-злачынстваў у 2018 годзе дасягнуў адзнакі. .
Цяпер даследнікі з праекту X-Force Red кампаніі IBM распрацавалі праверку канцэпцыі (PoC), якая можа стаць наступным крокам у эвалюцыі кібер-злачынстваў. Яна называецца , І спалучае ў сабе тэхнічныя метады з іншымі, больш традыцыйнымі метадамі.
Як працуе warshipping
Warshipping выкарыстоўвае даступны, недарагі і маламагутны кампутар для выдаленага выканання нападаў у непасрэднай блізкасці ад ахвяры па-за залежнасцю ад месцазнаходжання саміх кібер-злачынцаў. Для гэтага, па звычайнай пошце ў выглядзе пасылкі ў офіс ахвяры адпраўляецца невялікая прылада, якое змяшчае мадэм з 3G-падлучэннем. Наяўнасць мадэма азначае, што прылада можа кіравацца выдалена.
Дзякуючы ўбудаванаму бесправадному чыпу, прылада ажыццяўляе пошук найблізкіх сетак для адсочвання іх сеткавых пакетаў. Чарльз Хендэрсан, раздзел X-Force Red у IBM, тлумачыць: «Як толькі мы бачым, што наш «ваенны карабель» прыбыў да ўваходных дзвярэй, паштовым пакоі ці месцы разгрузкі пошты ў ахвяры, мы ўжо здольныя выдалена кантраляваць сістэму і запускаць прылады для пасіўнай. або актыўнай атакі бесправадной сеткі ахвяры».
Атака з дапамогай warshipping
Як толькі так званы "ваенны карабель" (warship) фізічна аказваецца ўнутры офіса ахвяры, прылада пачынае праслухоўваць пакеты дадзеных па бесправадной сетцы, якія яно можа выкарыстоўваць для пранікнення ў сетку. Яно таксама праслухоўвае працэсы аўтарызацыі карыстальнікаў для падлучэння да сеткі Wi-Fi ахвяры і праз сотавую сувязь адпраўляе гэтыя дадзеныя кібер-злачынцу, каб ён мог расшыфраваць гэтую інфармацыю і атрымаць пароль да Wi-Fi сеткі ахвяры.
Выкарыстоўваючы гэтае бесправоднае падлучэнне, зламыснік зараз можа перасоўвацца па сетцы ахвяры, вышукваючы ўразлівыя сістэмы, даступныя дадзеныя, а таксама красці канфідэнцыйную інфармацыю ці паролі карыстачоў.
Пагроза з вялізным патэнцыялам
Па словах Хендэрсана, дадзены напад цалкам можа стаць утоенай, эфектыўнай інсайдэрскай пагрозай: яна недарагая і не складаная ў рэалізацыі, а таксама можа застацца незаўважанай з боку ахвяры. Больш за тое, зламыснік можа арганізаваць гэтую пагрозу здалёку, знаходзячыся на значнай адлегласці. У шэрагу кампаній, дзе штодня праходзіць вялікі аб'ём пошты і пасылак, дастаткова лёгка не заўважыць ці не звярнуць увагі на невялікую пасылку.
Адным з аспектаў, які робіць warshipping надзвычай небяспечным, - гэта тое, што ён можа абыйсці абарону электроннай пошты, якая ўкаранёна ў ахвяры для прадухілення шкоднасных праграм і іншых нападаў, якія распаўсюджваюцца праз укладанні.
Абарона прадпрыемства ад дадзенай пагрозы
Улічваючы, што ў дадзеным выпадку гаворка ідзе аб фізічным вектары нападу, над якім няма кантролю, можа здацца, што няма нічога, што магло б спыніць дадзеную пагрозу. Гэта адзін з тых выпадкаў, калі асцярожнасць пры рабоце з электроннай поштай і недавер да ўкладанняў у электронных лістах не будуць працаваць. Аднак існуюць рашэнні, якія здольныя спыніць гэтую пагрозу.
Каманды кіравання зыходзяць ад самага warship. А гэта азначае, што дадзены працэс з'яўляецца вонкавым па стаўленні да ІТ-сістэме арганізацыі. аўтаматычна спыняюць любыя невядомыя працэсы ў ІТ-сістэме. Падключэнне да сервера кіравання зламысніка з выкарыстаннем дадзенага «ваеннага карабля» – гэта працэс, які невядомы для бяспекі, такім чынам, такі працэс будзе заблакаваны, а сістэма застанецца бяспечнай.
На дадзены момант warshipping - гэта пакуль толькі праверка канцэпцыі (PoC), і яна не выкарыстоўваецца ў рэальных атаках. Зрэшты, няспынная творчасць кібер-злачынцаў азначае, што хуткім часам такі метад можа стаць рэальнасцю.
Крыніца: habr.com