As tentativas dos cibercriminosos de ameaçar os sistemas de TI estão em constante evolução. Por exemplo, entre as técnicas que vimos este ano, vale destacar em milhares de sites de comércio eletrônico para roubar dados pessoais e usar o LinkedIn para instalar spyware. Além disso, estas técnicas funcionam: os danos causados pelos crimes cibernéticos em 2018 atingiram .
Agora, pesquisadores do projeto X-Force Red da IBM desenvolveram uma prova de conceito (PoC) que pode ser o próximo passo na evolução do crime cibernético. É chamado e combina métodos técnicos com outros métodos mais tradicionais.
Como funciona o navio de guerra
Navio de guerra utiliza um computador acessível, barato e de baixo consumo de energia para realizar ataques remotamente nas imediações da vítima, independentemente da localização dos próprios criminosos cibernéticos. Para isso, um pequeno dispositivo contendo um modem com conexão 3G é enviado em pacote ao escritório da vítima por correio normal. A presença de um modem significa que o dispositivo pode ser controlado remotamente.
Graças ao chip sem fio integrado, o dispositivo procura redes próximas para monitorar seus pacotes de rede. Charles Henderson, chefe do X-Force Red da IBM, explica: "Assim que vemos nosso 'navio de guerra' chegar à porta da frente da vítima, à sala de correspondência ou à área de entrega de correspondência, somos capazes de monitorar remotamente o sistema e executar ferramentas para passivamente ou um ataque ativo à rede sem fio da vítima.”
Ataque via navio de guerra
Assim que o chamado “navio de guerra” estiver fisicamente dentro do escritório da vítima, o dispositivo começa a escutar pacotes de dados pela rede sem fio, que pode usar para penetrar na rede. Ele também escuta os processos de autorização do usuário para se conectar à rede Wi-Fi da vítima e envia esses dados via comunicação celular ao cibercriminoso para que ele descriptografe essas informações e obtenha a senha da rede Wi-Fi da vítima.
Usando esta conexão sem fio, um invasor pode agora circular pela rede da vítima, procurando sistemas vulneráveis, dados disponíveis e roubando informações confidenciais ou senhas de usuários.
Uma ameaça com enorme potencial
De acordo com Henderson, o ataque tem potencial para ser uma ameaça interna furtiva e eficaz: é barato e fácil de implementar e pode passar despercebido pela vítima. Além disso, um invasor pode organizar essa ameaça de longe, localizado a uma distância considerável. Em algumas empresas onde um grande volume de correspondências e pacotes são processados diariamente, é muito fácil ignorar ou não prestar atenção a um pacote pequeno.
Um dos aspectos que torna o warshipping extremamente perigoso é que ele pode contornar a segurança do e-mail que a vítima implementou para evitar malware e outros ataques que se espalham por meio de anexos.
Protegendo a empresa desta ameaça
Dado que se trata de um vetor de ataque físico sobre o qual não há controle, pode parecer que não há nada que possa deter esta ameaça. Este é um daqueles casos em que ser cauteloso com e-mails e não confiar em anexos de e-mails não funcionará. No entanto, existem soluções que podem impedir esta ameaça.
Os comandos de controle vêm do próprio navio de guerra. Isto significa que este processo é externo ao sistema de TI da organização. interromper automaticamente quaisquer processos desconhecidos no sistema de TI. Conectar-se ao servidor de comando e controle de um invasor usando um determinado "navio de guerra" é um processo desconhecido para segurança, portanto, tal processo será bloqueado e o sistema permanecerá seguro.
No momento, o navio de guerra ainda é apenas uma prova de conceito (PoC) e não é utilizado em ataques reais. No entanto, a criatividade constante dos criminosos cibernéticos significa que tal método poderá tornar-se uma realidade num futuro próximo.
Fonte: habr.com