Próby cyberprzestępców grożenia systemom informatycznym stale ewoluują. Na przykład wśród technik, które widzieliśmy w tym roku, warto zwrócić uwagę w tysiącach witryn handlu elektronicznego w celu kradzieży danych osobowych i wykorzystania LinkedIn do instalowania oprogramowania szpiegującego. Co więcej, techniki te działają: w 2018 r. osiągnięto szkody spowodowane cyberprzestępczością .
Teraz badacze z projektu IBM X-Force Red opracowali dowód koncepcji (PoC), który może być kolejnym krokiem w ewolucji cyberprzestępczości. Nazywa się to i łączy metody techniczne z innymi, bardziej tradycyjnymi metodami.
Jak działa żegluga wojenna
Żegluga wojenna wykorzystuje dostępny, niedrogi i energooszczędny komputer do zdalnego przeprowadzania ataków w bezpośrednim sąsiedztwie ofiary, niezależnie od lokalizacji samych cyberprzestępców. W tym celu małe urządzenie zawierające modem z połączeniem 3G jest wysyłane zwykłą pocztą w formie paczki do biura ofiary. Obecność modemu oznacza, że urządzeniem można sterować zdalnie.
Dzięki wbudowanemu chipowi bezprzewodowemu urządzenie wyszukuje pobliskie sieci w celu monitorowania ich pakietów sieciowych. Charles Henderson, szef X-Force Red w IBM, wyjaśnia: „Kiedy zobaczymy, jak nasz «okręt wojenny» przybywa do drzwi wejściowych ofiary, do pomieszczenia pocztowego lub do miejsca nadawania poczty, jesteśmy w stanie zdalnie monitorować system i uruchamiać narzędzia pasywny lub aktywny atak na sieć bezprzewodową ofiary.”
Atak poprzez okręty wojenne
Gdy tak zwany „okręt wojenny” fizycznie znajdzie się w biurze ofiary, urządzenie zaczyna nasłuchiwać pakietów danych w sieci bezprzewodowej, które może wykorzystać do penetracji sieci. Nasłuchuje również procesów autoryzacji użytkownika w celu połączenia się z siecią Wi-Fi ofiary i wysyła te dane za pośrednictwem komunikacji komórkowej do cyberprzestępcy, aby mógł on odszyfrować te informacje i uzyskać hasło do sieci Wi-Fi ofiary.
Korzystając z tego połączenia bezprzewodowego, osoba atakująca może teraz poruszać się po sieci ofiary, szukając podatnych na ataki systemów, dostępnych danych i kradnąc poufne informacje lub hasła użytkowników.
Zagrożenie z ogromnym potencjałem
Według Hendersona atak może być ukrytym, skutecznym zagrożeniem wewnętrznym: jest niedrogi i łatwy do wdrożenia oraz może pozostać niewykryty przez ofiarę. Co więcej, atakujący może zorganizować to zagrożenie ze znacznej odległości. W niektórych firmach, w których codziennie przetwarzana jest duża ilość przesyłek pocztowych i paczek, dość łatwo jest przeoczyć lub nie zwrócić uwagi na małą paczkę.
Jednym z aspektów, który sprawia, że okręty wojenne są niezwykle niebezpieczne, jest to, że mogą ominąć zabezpieczenia poczty elektronicznej wprowadzone przez ofiarę w celu zapobiegania złośliwemu oprogramowaniu i innym atakom rozprzestrzeniającym się za pośrednictwem załączników.
Ochrona przedsiębiorstwa przed tym zagrożeniem
Biorąc pod uwagę, że chodzi o wektor ataku fizycznego, nad którym nie ma kontroli, może się wydawać, że nic nie jest w stanie powstrzymać tego zagrożenia. Jest to jeden z tych przypadków, w których ostrożność podczas korzystania z wiadomości e-mail i brak zaufania do załączników w wiadomościach e-mail nie zadziała. Istnieją jednak rozwiązania, które mogą powstrzymać to zagrożenie.
Polecenia sterujące pochodzą z samego okrętu wojennego. Oznacza to, że proces ten odbywa się na zewnątrz systemu informatycznego organizacji. automatycznie zatrzymuje nieznane procesy w systemie informatycznym. Łączenie się z serwerem dowodzenia i kontroli atakującego za pomocą danego „okrętu wojennego” jest procesem nieznanym bezpieczeństwo, dlatego taki proces zostanie zablokowany, a system pozostanie bezpieczny.
W tej chwili okręty wojenne stanowią jedynie dowód koncepcji (PoC) i nie są wykorzystywane w rzeczywistych atakach. Jednak ciągła kreatywność cyberprzestępców oznacza, że taka metoda może stać się rzeczywistością w najbliższej przyszłości.
Źródło: www.habr.com