Warshipping – кибер-угроза, поступающая посылкой по обычной почте

Warshipping – кибер-угроза, поступающая посылкой по обычной почте

Попытки кибер-преступников угрожать ИТ-системам постоянно совершенствуются. Например, среди техник, которые мы видели в этом году, стоит отметить внедрение вредоносного кода на тысячах сайтах электронной коммерции для кражи персональных данных и использование LinkedIn для установки шпионского ПО. Более того, эти техники работают: ущерб от кибер-преступлений в 2018 году достиг отметки в 45 миллиардов долларов США .

Сейчас исследователи из проекта X-Force Red компании IBM разработали проверку концепции (PoC), которая может стать следующим шагом в эволюции кибер-преступлений. Она называется warshipping, и сочетает в себе технические методы с другими, более традиционными методами.

Как работает warshipping

Warshipping использует доступный, недорогой и маломощный компьютер для удаленного выполнения атак в непосредственной близости от жертвы вне зависимости от местоположения самих кибер-преступников. Для этого, по обычной почте в виде посылки в офис жертвы отправляется небольшое устройство, содержащее модем с 3G-подключением. Наличие модема означает, что устройство может управляться удаленно.

Благодаря встроенному беспроводному чипу, устройство осуществляет поиск ближайших сетей для отслеживания их сетевых пакетов. Чарльз Хендерсон, глава X-Force Red в IBM, объясняет: «Как только мы видим, что наш «военный корабль» прибыл к входным дверям, почтовой комнате или месту разгрузки почты у жертвы, мы уже способны удаленно контролировать систему и запускать инструменты для пассивной или активной атаки беспроводной сети жертвы».

Атака с помощью warshipping

Как только так называемый «военный корабль» (warship) физически оказывается внутри офиса жертвы, устройство начинает прослушивать пакеты данных по беспроводной сети, которые оно может использовать для проникновения в сеть. Оно также прослушивает процессы авторизации пользователей для подключения к сети Wi-Fi жертвы и через сотовую связь отправляет эти данные кибер-преступнику, чтобы он мог расшифровать эту информацию и получить пароль к Wi-Fi сети жертвы.

Используя это беспроводное подключение, злоумышленник теперь может передвигаться по сети жертвы, выискивая уязвимые системы, доступные данные, а также красть конфиденциальную информацию или пароли пользователей.

Угроза с огромным потенциалом

По словам Хендерсона, данная атака вполне может стать скрытой, эффективной инсайдерской угрозой: она недорогая и не сложная в реализации, а также может остаться незамеченной со стороны жертвы. Более того, злоумышленник может организовать эту угрозу издалека, находясь на значительном расстоянии. В ряде компаний, где ежедневно проходит большой объем почты и посылок, достаточно легко не заметить или не обратить внимания на небольшую посылку.

Одним из аспектов, который делает warshipping чрезвычайно опасным, — это то, что он может обойти защиту электронной почты, которая внедрена у жертвы для предотвращения вредоносных программ и других атак, которые распространяются через вложения.

Защита предприятия от данной угрозы

Учитывая, что в данном случае речь идет о физическом векторе атаки, над которым нет контроля, может показаться, что нет ничего, что могло бы остановить данную угрозу. Это один из тех случаев, когда осторожность при работе с электронной почтой и недоверие к вложениям в электронных письмах не будут работать. Однако существуют решения, которые способны остановить эту угрозу.

Команды управления исходят от самого warship. А это означает, что данный процесс является внешним по отношению к ИТ-системе организации. Решения информационной безопасности автоматически останавливают любые неизвестные процессы в ИТ-системе. Подключение к серверу управления злоумышленника с использованием данного «военного корабля» — это процесс, который неизвестен для решения безопасности, следовательно, такой процесс будет заблокирован, а система останется безопасной.
На данный момент warshipping – это пока только проверка концепции (PoC), и она не используется в реальных атаках. Впрочем, непрестанное творчество кибер-преступников означает, что в ближайшее время такой метод может стать реальностью.

Источник: habr.com