Спроби кібер-злочинців загрожувати ІТ-системам постійно вдосконалюються. Наприклад, серед технік, які ми бачили цього року, варто зазначити на тисячах сайтах електронної комерції для крадіжки персональних даних та використання LinkedIn для встановлення шпигунського ПЗ. Більше того, ці техніки працюють: збитки від кібер-злочинів у 2018 році досягли позначки в .
На даний момент дослідники з проекту X-Force Red компанії IBM розробили перевірку концепції (PoC), яка може стати наступним кроком в еволюції кібер-злочинів. Вона називається , і поєднує у собі технічні методи коїться з іншими, традиційнішими методами.
Як працює warshipping
Warshipping використовує доступний, недорогий та малопотужний комп'ютер для віддаленого виконання атак у безпосередній близькості від жертви незалежно від місця розташування самих кібер-злочинців. Для цього, звичайною поштою у вигляді посилки в офіс жертви відправляється невеликий пристрій, що містить модем з 3G-підключенням. Наявність модему означає, що пристрій може керуватися віддалено.
Завдяки вбудованому бездротовому чіпу, пристрій здійснює пошук найближчих мереж для відстеження їх мережних пакетів. Чарльз Хендерсон, глава X-Force Red в IBM, пояснює: «Щойно ми бачимо, що наш «військовий корабель» прибув до вхідних дверей, поштової кімнати або місця розвантаження пошти у жертви, ми вже здатні віддалено контролювати систему та запускати інструменти для пасивної або активної атаки бездротової мережі жертви».
Атака за допомогою warshipping
Як тільки так званий «військовий корабель» (warship) фізично виявляється всередині офісу жертви, пристрій починає прослуховувати пакети даних бездротової мережі, які він може використовувати для проникнення в мережу. Воно також прослуховує процеси авторизації користувачів для підключення до мережі Wi-Fi жертви і через стільниковий зв'язок відправляє ці дані кібер-злочинцю, щоб він міг розшифрувати цю інформацію та отримати пароль до Wi-Fi мережі жертви.
Використовуючи це бездротове підключення, зловмисник тепер може пересуватися по мережі жертви, вишукуючи вразливі системи, доступні дані, а також викрадати конфіденційну інформацію чи паролі користувачів.
Загроза з величезним потенціалом
За словами Хендерсона, ця атака може стати прихованою, ефективною інсайдерською загрозою: вона недорога і не складна в реалізації, а також може залишитися непоміченою з боку жертви. Більше того, зловмисник може організувати цю загрозу здалеку, перебуваючи на значній відстані. У низці компаній, де щодня проходить великий обсяг пошти та посилок, досить легко не помітити або не звернути увагу на невелику посилку.
Одним із аспектів, який робить warshipping надзвичайно небезпечним, є те, що він може обійти захист електронної пошти, який впроваджений у жертви для запобігання шкідливим програмам та іншим атакам, які поширюються через вкладення.
Захист підприємства від цієї загрози
З огляду на те, що в даному випадку йдеться про фізичний вектор атаки, над яким немає контролю, може здатися, що немає нічого, що могло б зупинити цю загрозу. Це один із тих випадків, коли обережність при роботі з електронною поштою та недовіра до вкладень в електронних листах не працюватимуть. Однак є рішення, які здатні зупинити цю загрозу.
Команди управління походять від самого warship. А це означає, що цей процес є зовнішнім по відношенню до ІТ-системи організації. автоматично зупиняють будь-які невідомі процеси в ІТ-системі. Підключення до сервера управління зловмисника з використанням даного «військового корабля» - це процес, який невідомий для Таким чином, такий процес буде заблокований, а система залишиться безпечною.
На даний момент warshipping – це поки що лише перевірка концепції (PoC), і вона не використовується в реальних атаках. Втім, безперервна творчість кібер-злочинців означає, що найближчим часом такий метод може стати реальністю.
Джерело: habr.com