TL;DR

Перевели статью, автор которой на конференции leHack-2025 развернул систему, состоящую из 8 микроконтроллеров ESP32-C3 и 2 устройств Cardputer под управлением Evil-M5Project. Идея была в том, чтобы провести Wi-Fi-атаку, известную как «Karma», с использованием реальных SSID, полученных из базы данных WiGLE.

Моя система спокойно одновременно обрабатывала до 100 подключений. Жертвы перенаправлялись на специальный captive-портал, никакого реального взлома не было — лишь повышение осведомленности. Удалось даже поймать в ловушку одного из спикеров прямо во время выступления.

Короче, миссия выполнена — хакеры взломаны.

Введение — leHack

Прежде всего пара слов о самой конференции.

leHack — одно из старейших и наиболее авторитетных мероприятий в сфере информационной безопасности в Европе. Оно ежегодно проводится в Париже и собирает профессионалов в области кибербезопасности, этичных хакеров, любителей изобрести какую-нибудь штуковину и энтузиастов со всего мира (преимущественно из Франции). Изначально известное как La Nuit du Hack («Ночь хакинга»), мероприятие выросло до полноценного уик-энда с докладами, практическими семинарами, зонами для хакинга в реальном времени и соревнованиями типа Capture the Flag.

Здесь активная безопасность встречается с творческим подходом, изучаются эксплойты, а грань между демонстрацией проверки концепции (proof of concept) и хаосом часто бывает размытой — идеальное место для тестирования и демонстрации нестандартных подходов в реальных условиях.

Но, помимо докладов и технологий, по-настоящему особенным leHack делает его атмосфера. Она неподдельная, энергичная и без прикрас. Это то место, где в один момент можно за кружкой пива обсуждать инъекцию пакетов со случайным хакером, а в следующий — столкнуться с настоящей киберлегендой.

Несмотря на большое количество посетителей, многие из самых известных имён в этой сфере остаются удивительно доступными: они могут выступить с докладом, а сразу после этого пойти со всеми курить или пить пиво, проводить время в зоне OSINT, спокойно работать в углу с мини-ноутбуком GPD или за пару часов запилить сайт в отместку за то, что кто-то сфоткал его ноги (https://cyberfeet.fr/).

Все открыты, любознательны и увлечены своим делом. Любой найдёт что-то интересное для себя: необычные устройства, «живые» демо, хитрые хакерские челленджи и спонтанные дебаты, которые не утихают до утра.

Если DEFCON — это хаос в стиле Лас-Вегаса, то leHack — это анархия в стиле Парижа. Как по мне, здесь просто необходимо побывать.

Идея — карма-атака на всех

Последние два года я активно занимался Evil-M5Project — платформой, предназначенной для реализации широкого спектра атак на сети Wi-Fi и Bluetooth, в частности для карма-атак на Wi-Fi с использованием микроконтроллеров ESP32.

После многочисленных тестов и экспериментов я пришёл к выводу, что поверхность карма-атак на удивление широка, особенно если тщательно подойти к выбору SSID, которые имитировали бы публичные сети, которым люди доверяют и к которым подключаются в повседневной жизни или по пути на мероприятие.

Даже опытные специалисты могут попасться, если всё сделать правильно. Мы постоянно пользуемся кучей Wi-Fi-сетей: на вокзалах, в фастфудах, на конференциях (в том числе на прошлогодней leHack). Так как сеть открытая или пароль от неё известен, устройство записывает её в доверенные и подключается без какого-либо участия пользователя.

Смартфоны и ноуты так и рвутся в интернет, «выкрикивая» SSID сетей, к которым хотят подключиться.

Для реализации проекта на leHack я применил собственную установку из восьми плат ESP32-C3 из Evil-M5Project, каждая из которых была оснащена внешней антенной:

Такая сборка позволяет запускать параллельно несколько процессов: сниффинг EAPOL, автоматические атаки деаутентификации, автономные captive-порталы и даже пассивное сканирование (вардрайвинг). Можно задействовать необходимое число плат ESP32, избежав переключения каналов.

Специально для мероприятия на каждую ESP32 был залит код портала, который мог параллельно обслуживать до 10 клиентов — то есть теоретически вся конфигурация поддерживала 80 одновременных карма-соединений. Вдобавок ко всему, у меня было два Cardputer'а, на которых крутился вспомогательный скрипт Karma Auto, доводя общее число потенциальных жертв до 100.

Каждая ESP32 транслировала имя сети, специально подобранное с помощью WiGLE. Прежде всего это были SSID сетей в поездах и на вокзалах по пути на конференцию, общественного Wi-Fi Парижа, сети фастфуда прямо напротив площадки, а также SSID самого мероприятия за этот и прошлый годы. Для сети конференции был указан правильный пароль, так как это WPA2-сеть, но даже в этом случае карма-атака всё равно работает.

Ниже приведён тот самый список. Если вы были на мероприятии, то, скорее всего, видели одну из этих сетей или даже подключались к ней. Теперь вы в курсе, что это было:

• SNCF_WIFI_INOUI

• NormandieTrainConnecte

• freewifi.sncf

• Free Wifi

• Paris Wi-Fi

• McDonald’s France

• LeHACK-2024

• LeHACK-2025

Поскольку на Evil-Cardputer крутилась карма-атака в авторежиме, число жертв оказалось меньше, чем могло бы быть, так как на каждом запросе на подключение система зацикливалась по 15 секунд.

Устройство лёгкое и полностью портативное, я без проблем носил его и питал от двух внешних аккумуляторов (5500 и 6500 мА·ч) на протяжении всего мероприятия. Также оно масштабируемое: можно просто добавить больше модулей ESP32. Если использовать один источник питания, лимит — 10 модулей. С несколькими источниками возможности практически безграничны. Я уже подумываю, как расширить систему к следующему году.

Короче говоря, идеальная платформа для создания хаоса в публичных Wi-Fi-сетях, особенно если ваша цель — демонстрация уязвимостей для повышения осведомлённости.

Жаль, конечно, что не успел реализовать счётчик общего числа уникальных подключённых устройств. Но я мог примерно оценить их количество, используя Evil-Cardputer. Для этого отслеживал probe-запросы, которые отправляло устройство при подключении, убеждаясь, что всё действительно работает, на некоторых SSID, которые использовал.

В итоге всё оказалось очень круто. Сразу по прибытии я запустил Cardputer с SSID SNCF_WIFI_INOUI, просто чтобы посмотреть, что будет, и меньше чем за минуту ко мне автоматом подключилось 10 человек.

Каждый раз, когда я включал установку, она работала (Sta = количество подключений):

Цель — соблюдение этических норм и продвижение Evil-M5Project

Хотя возиться с железками и настройкой было весело, главной миссией оставалась этика: повысить осведомлённость о рисках автоматического подключения к Wi-Fi и показать, что карма-атаки всё ещё работают даже в 2025 году. Ну и, конечно, продвинуть Evil-M5Project и его сообщество.

Для этого был создан captive-портал, на который пользователь автоматически попадал при подключении (в зависимости от поведения ОС — подробнее об этом позже). На портале открывалась специальная страница с узнаваемым брендингом Evil-M5Project и прямым обращением к пользователю:

На странице кратко объяснялось, что такое карма-атака, как она работает и почему опасно слепо доверять сетям со знакомыми названиями (SSID). Учётные данные не собирались, вредоносное ПО не распространялось — это был просто момент истины для пользователя. Целью было не воспользоваться беспечностью и незнанием жертв, а на деле показать, что это такое.

В мире, где мобильные устройства всё ещё автоматически подключаются к известным им сетям, не проверяя подлинность точки доступа, если эта сеть сохранена как открытая, карма-атаки остаются на удивление эффективными. Их часто упускают из виду как обычные пользователи, так и корпоративные безопасники.

И конечно же, на страничке были ссылки на GitHub и Discord:

Самое интересное — взламываем хакеров на их же конференции

Для меня leHack и сам проект не были бы по-настоящему насыщенными без живого фидбэка. В какой-то момент во время доклада «Забавы с часами: взламываем 12-евровые смарт-часы с помощью Bluetooth Low Energy и трёх проводов» от Virtualabs и Xilokar случилось нечто неожиданное… (Или ожидаемое?) Ноутбук на сцене в прямом эфире словил карма-атаку. И хотя его Linux-система предотвратила автоматическое открытие captive-портала (спасибо большинству дистрибутивов Linux за то, что они подавляют такие окна, ведь это было абсолютно незапланировано; я бы лопнул от стыда перед публикой и докладчиком), запрос на подключение к поддельному SSID SNCF_WIFI_INOUI появился прямо на экране проектора.

То был момент высочайшего стресса — я тут же всё отключил, чтобы не мешать докладчику (учитывая моё невероятное уважение к нему). Впрочем, Virtualabs отнёсся к происходящему философски: «Похоже, кто-то балуется с Wi-Fi» — и, как и подобает хорошему спикеру, продолжил своё выступление.

Сразу после доклада я побежал к нему извиняться, на что он ответил: «Ой, да ладно, это же игра, ха-ха!» Какой же крутой ивент с крутыми людьми!

В течение дня к моим поддельным сетям подключилась куча посетителей. Некоторые понимали, что что-то не так, когда всплывало окошко портала. Другие замечали, что их телефон в сети Wi-Fi, к которой они явно не подключались. Несколько человек подошли ко мне, указывая на мою установку со смесью недоумения и любопытства и спрашивая: «Что это, блин, за хреновина такая?»

Я не прятался. Я открыто объяснял, как всё устроено, показывал, что их устройства действительно подключены, и позволял самим «поиграться» с порталом. Реакции были бесценны — смесь веселья, уважения и озабоченности. У людей глаза на лоб лезли. Кто-то улыбался. Некоторые делали заметки. Возникали живые дискуссии о доверии, о поведении Wi-Fi и о том, как даже технически грамотные пользователи могут попасться, если правильно подделать SSID.

Самый сок — когда кто-то подходил ко мне с вопросом: «Что это?», а я ему: «Ты сначала в свой смарт загляни». И когда он видел, что его телефон подключён к моей штуковине, это вызывало ещё большее: «Какого черта здесь происходит?!» ?

Сообщество — отзывы и реакция

Что мне больше всего нравится в leHack, так это открытое и любознательное сообщество, и это было заметно в течение всего дня.

Увидев мою установку в деле или попавшись на одну из фейковых Wi-Fi-сетей, многие хакеры подходили ко мне не со злостью, раздражением или подозрением, а с неподдельным интересом.

Кто-то интересовался, как я это собрал. Другие хотели посмотреть на портал в действии. Некоторые делали заметки, фоткали устройство и даже просили ссылку на GitHub Evil-M5Project. Никто не обижался, поскольку цель была ясна, а исполнение было уважительным. Более того, большинство людей было впечатлено тем, насколько эта атака до сих пор проста и эффективна (даже на хакерской конференции).

Всё закончилось активными обсуждениями о поведении Wi-Fi, различиях в операционках (особенно в части обнаружения captive-порталов), рисках автоподключения на мобильных устройствах и о том, сколько векторов атак до сих пор упускаются из виду в реальной жизни. Некоторые даже делились историями о похожих установках, которые они тестировали раньше, или подкидывали идеи для совместной работы и расширения проекта.

Короче говоря, настрой был в основном восторженным, а атмосфера — именно такой, какой и ждёшь от хакерской тусовки: взаимное уважение, любопытство и правильная доза озорства.

Заключение — миссия выполнена

Попасться могут даже хакеры. Карма-атака, похоже, всё ещё эффективна, и в 2025 году есть куча возможностей её организовать.

Это один из главных уроков, который я вынес из этого опыта. Неважно, насколько мы технари или параноики, наши устройства всё равно выступают носителями доверия, особенно когда речь идёт о фоновом подключении к сетям, которыми мы раньше пользовались. Хорошо продуманная карма-атака с реалистичными SSID и в контролируемой среде способна одурачить даже самых прожжённых профи.

Моя установка на базе Evil-M5Project сработала как надо: вызвала дискуссии, повысила осведомлённость и напомнила всем, что публичный Wi-Fi в 2025 году — это всё ещё вектор угрозы. Не потребовалось никаких модных уязвимостей «нулевого дня» — лишь немного креативности, подготовки и понимания того, как ведут себя современные устройства.

Вот несколько ключевых уроков:

• Не доверяй публичному Wi-Fi только потому, что ты уже пользовался сетью с этим именем.

• Знай, как твоя ОС обрабатывает captive-порталы (не все системы ведут себя одинаково).

• Проверяй, не «кричит» ли твое устройство SSID'ами известных сетей.

• Linux может защитить от всплывающих окон, но не предотвратит сбор цифровых SSID-отпечатков или автоматические переподключения.

• Осведомлённость важна, а такая демонстрация в игровом формате иногда даже более полезна, чем длинный доклад.

Для меня leHack-2025 стал не просто демонстрацией устройств. Это была возможность поделиться мировоззрением, вовлечь сообщество и показать, что при ответственном применении наступательные инструменты могут помогать с защитой.

Так что миссия выполнена, и я уже думаю, что привезти в следующем году. Никаких уязвимостей «нулевого дня», никаких эксплойтов — лишь ваш телефон, выполняющий ровно то, для чего он был создан.

Особая благодарность всем, кто был со мной, обменивался идеями, проявлял любопытство, делился контактами и помогал открыть разум для определённых возможностей. Уверен, вы узнаете себя ?

Отдельные извинения Virtualabs и Xilokar за причинённое беспокойство.

P. S.

Читайте также в нашем блоге:

• Расследование аферы с GitHub: как тысячи «модов» и «кряков» крадут наши данные

• Проверяем, мог ли модуль пожаротушения стать причиной пожара на складе

• Как сделать безопасную загрузку с полностью зашифрованным диском на Linux без загрузчика на UEFI