Эксперты по информационной безопасности уже давно предупреждают — многие миллионы подключенных к Сети электронных устройств уязвимы к взлому. Это касается подавляющего большинства IoT гаджетов, производители которых больше беспокоятся о дизайне своих устройств, чем о безопасности пользователей этих девайсов.
И на днях один-единственный злоумышленник смог доказать то, о чем до этого только говорили. Каких-либо особо сложных устройств или ПО для своей работы взломщик не использовал, но ему удалось отослать на печать листовки собственного изготовления на тысячи принтеров по всему миру. Сами листовки не будем обсуждать в силу их содержимого (свастика, расизм и т.п.).
Первым шагом во всей этой истории был сбор информации — а именно IP подключенных к Сети устройств из Северной Америки и Австралии с открытым портом 9100. Сделать это просто с сервисом Shodan или masscan. А дальше уже и вовсе все просто — выводим любой материал на печать при помощи специального PostScript-файла.
#!/bin/bash
for i in `cat printers`
do
cat payload.ps |netcat -q 0 $i 9100
done
Скрипт для рассылки состоит всего из нескольких строчек (плюс еще файл с собранными ранее IP адресами). Плюс взломщик использовал строчку while true; do killall --older-than 1m netcat;sleep 1;done для того, чтобы убрать подвисшие подключения.
Never done before: mass printer trolling. Y'all think this PostScript is offensive enough? https://t.co/7RN4DKM9lR pic.twitter.com/HqDwvx9bhZ
— Andrew Auernheimer (@rabite) 24 марта 2016 г.
Листовка была отправлена «в печать» на более, чем 30 тысяч устройств. Правда, далеко не все такие гаджеты оказались принтерами.
О том, что акция прошла успешно, взломщик (Эндрю Оренхаймер (Andrew Auernheimer), который также известен под ником weev) узнал уже из сообщений в Твиттере.
Someone printed a white supremacist recruitment flyer to my office printer. #wtf #peoplearetheworst #racism #whitesupremacy
— Claire Meints (@meintscl) 25 марта 2016 г.
Someone left their white supremacist propaganda on the printer at work. Gotta love being one of only two non-white people. #NotASuspect
— L??°?L (@Swag_Daddy__) 24 марта 2016 г.
Apparently #DailyStormer hacked a friends printer....swastikas and racism printed out
— Stevenb0n3zHatfield (@drb0n3z) 24 марта 2016 г.
Как оказалось, листовки печатали принтеры, установленные во многих организациях, но особенно много их оказалось напечатано в американских университетах.
Многие пользователи в том же Твиттере говорили, что теперь собираются обратиться к специалистам по информационной безопасности, чтобы подобное больше не повторилось. Но взломщик не унывает, и собирается провести повторную акцию в Европе, а потом, может быть, снова в Австралии и Северной Америке.
Интересно, что спустя несколько дней те же принтеры напечатали еще листовки — на этот раз с анти-ЛГБТ призывами. Но Оренхаймер уже к этому вроде бы и непричастен (по его собственным словам).
Комментарии (23)
ExplosiveZ
29.03.2016 22:21Можно же так пропаганду печатать! Ну и мысли у меня)
amiluik
29.03.2016 23:00+4Так ее и печатал герой статьи, просто это была неправильная пропаганда.
MAXHO
30.03.2016 11:43-1Имхо не бывает "правильной" и "неправильной" пропаганды.
Любая пропаганда — ложь и следовательно масдай и бяка.vedenin1980
30.03.2016 13:07+2Почему любая пропаганда ложь? Пропаганда это агитация, но её можно построить как на лжи, так и на чистой правде, просто сместив акценты в нужную сторону. Пропаганда здорового образа жизни, экологическая пропаганда — тому примеры, вовсе не обязательно лгать, достаточно просто сместить акцент с «ерунда какая-то» до «да они офигели, на кол их!»…
SnowLoKu
30.03.2016 07:52-2Напоминает историю с доступом к солонке с солью, когда все закончилось выдачей соли по паспортам. Ну стоит принтер в открытом доступе, и что, можно подумать ктото будет специально на него посылать печать чтобы испортить все листы. С таким же результатом можно ходить по кафе и рассыпать соль из солонок.
TimsTims
30.03.2016 10:31-1Разница в том, что обычно принтеры доступны только из внутренней локальной сети, и для абсолютного большинства организация это нормально.
Плохо, когда такой принтер почему-то имеет внешний ip, да еще и доступен откуда-попало.
Аналогия с соломками неуместна, т.к. соломки всё-таки находятся внутри столовой, как и принтеры обычно размещают внутри локальной сети, а здесь принтер смотрит не просто «на городскую улицу», а на «весь мир».
imm
30.03.2016 14:48Ну например в принтер-МФУ, а таких сейчас большинство в организациях, можно вбить аккаунт для доступа к сетевому ресурсу — чтобы МФУ сканы выкладывал.
Очень удобно забирать с МФУ такие аккаунты для последующих пентестов.
А солонок с доступом в интернет+локалку я пока не видел.
6a6ypek
30.03.2016 10:34+1Ничего нового.
По-моему еще прошлым, или даже позапрошлым летом, разные личности так развлекались, с использованием того же Шодана.
Искали принтеры и (!)плоттеры HP, заходили в веб-интерфейс, и через него печатали PDF-ку, с 50-100 страницами тролльфейсов и ч0рных властелинов.
evil_random
30.03.2016 11:45+1Это мне напомнило открытый SMB (да и всё остальное) в мир, который практиковался на Win в 2000-х годах.
Fleg
30.03.2016 14:45У меня из какого-то из соседних офисов принтер светится с открытым подключением по WiFi. Уже 2-й год. Сколько раз подмывало послать им туда анекдоты на печать.
Mixim333
30.03.2016 18:38Это еще раз доказывает: «Лучше перебдеть, чем недобдеть!». А в принципе, весело получилось, еще содержимое листовок было бы другим (открытое окошко, в которое улетают деньги, например).
teecat
31.03.2016 13:02Уж сколько раз твердили миру, но в очередной срок делается "открытие". Буквально позавчера писал очередную статью по защищенности всяких устройств. Не первый раз рассылки на открытые в сеть принтеры:
https://xakep.ru/2013/01/28/60009/
http://blogerator.ru/page/bezopasnost-i-vzlom-setevogo-printera-cain-parol-nastrojka-printera-hp-canon
и тд и тп
teecat
31.03.2016 13:05+2Рассылка это фигня. А вот использование доступных по сети принтеров в качестве места хранения информации для злоумышленников — это да:
https://xakep.ru/2016/01/28/hp-printers-for-malware/
тысячи офисных принтеров, объем внутренних хранилищ которых исчисляется гигабайтами, свободно доступны через интернет. Викери сосредоточился на изучении устройств компании HP, которые доступны по порту 9100 и фактически предоставляют хакеру анонимный FTP-сервер.
Злоумышленники могут воспользоваться опенсорсной утилитой для загрузки файлов на принтер HP и взаимодействия с ним. Названия утилит Викери умышленно не приводит. Как только файлы закачались, они становятся доступны через браузер и адрес вида http://<Printer_IP_Address>/hp/device/<File_Name>.
stalinets
Была когда-то статья на Хабре, что специальным запросом в обычном Гугле такие принтеры спокойно ищутся, и их легко добавить в систему и отправить что-то печатать.
PupkinVasia
Помню про веб-камеры. Про принтеры не помню.
P.S.
что-то спойлер не работает.
Habetdin
Не совсем в гугле — для подобных запросов используют поисковик Shodan.
stalinets
Вот хоть убейте — не смог найти. Но точно помню, что такое было, что искали специальным запросом именно в гугле, и в комментах стоял смех: выкладывали ссылки на найденные принтеры, где-то потратили всю загруженную в принтер бумагу, где-то заспамили промышленный плоттер и т.д. Это давно было, и может, даже не на хабре ещё — не помню...