Попытки кибер-преступников угрожать ИТ-системам постоянно совершенствуются. Например, среди техник, которые мы видели в этом году, стоит отметить внедрение вредоносного кода на тысячах сайтах электронной коммерции для кражи персональных данных и использование LinkedIn для установки шпионского ПО. Более того, эти техники работают: ущерб от кибер-преступлений в 2018 году достиг отметки в 45 миллиардов долларов США .
Сейчас исследователи из проекта X-Force Red компании IBM разработали проверку концепции (PoC), которая может стать следующим шагом в эволюции кибер-преступлений. Она называется warshipping, и сочетает в себе технические методы с другими, более традиционными методами.
Как работает warshipping
Warshipping использует доступный, недорогой и маломощный компьютер для удаленного выполнения атак в непосредственной близости от жертвы вне зависимости от местоположения самих кибер-преступников. Для этого, по обычной почте в виде посылки в офис жертвы отправляется небольшое устройство, содержащее модем с 3G-подключением. Наличие модема означает, что устройство может управляться удаленно.
Благодаря встроенному беспроводному чипу, устройство осуществляет поиск ближайших сетей для отслеживания их сетевых пакетов. Чарльз Хендерсон, глава X-Force Red в IBM, объясняет: «Как только мы видим, что наш «военный корабль» прибыл к входным дверям, почтовой комнате или месту разгрузки почты у жертвы, мы уже способны удаленно контролировать систему и запускать инструменты для пассивной или активной атаки беспроводной сети жертвы».
Атака с помощью warshipping
Как только так называемый «военный корабль» (warship) физически оказывается внутри офиса жертвы, устройство начинает прослушивать пакеты данных по беспроводной сети, которые оно может использовать для проникновения в сеть. Оно также прослушивает процессы авторизации пользователей для подключения к сети Wi-Fi жертвы и через сотовую связь отправляет эти данные кибер-преступнику, чтобы он мог расшифровать эту информацию и получить пароль к Wi-Fi сети жертвы.
Используя это беспроводное подключение, злоумышленник теперь может передвигаться по сети жертвы, выискивая уязвимые системы, доступные данные, а также красть конфиденциальную информацию или пароли пользователей.
Угроза с огромным потенциалом
По словам Хендерсона, данная атака вполне может стать скрытой, эффективной инсайдерской угрозой: она недорогая и не сложная в реализации, а также может остаться незамеченной со стороны жертвы. Более того, злоумышленник может организовать эту угрозу издалека, находясь на значительном расстоянии. В ряде компаний, где ежедневно проходит большой объем почты и посылок, достаточно легко не заметить или не обратить внимания на небольшую посылку.
Одним из аспектов, который делает warshipping чрезвычайно опасным, — это то, что он может обойти защиту электронной почты, которая внедрена у жертвы для предотвращения вредоносных программ и других атак, которые распространяются через вложения.
Защита предприятия от данной угрозы
Учитывая, что в данном случае речь идет о физическом векторе атаки, над которым нет контроля, может показаться, что нет ничего, что могло бы остановить данную угрозу. Это один из тех случаев, когда осторожность при работе с электронной почтой и недоверие к вложениям в электронных письмах не будут работать. Однако существуют решения, которые способны остановить эту угрозу.
Команды управления исходят от самого warship. А это означает, что данный процесс является внешним по отношению к ИТ-системе организации. Решения информационной безопасности автоматически останавливают любые неизвестные процессы в ИТ-системе. Подключение к серверу управления злоумышленника с использованием данного «военного корабля» — это процесс, который неизвестен для решения безопасности, следовательно, такой процесс будет заблокирован, а система останется безопасной.
На данный момент warshipping – это пока только проверка концепции (PoC), и она не используется в реальных атаках. Впрочем, непрестанное творчество кибер-преступников означает, что в ближайшее время такой метод может стать реальностью.
Комментарии (4)
vanyas
06.09.2019 14:58Последний абзац вообще не понятен, как-же блокировать такую «посылку», где само решени? На ум приходит только хранение приходящий посылок в экранированой комнате.
KodyWiremane
07.09.2019 01:40Мне вот в последнем абзаце не понятно, какие внешние команды собирается детектировать система. Управляется «корабль» через сотовую сеть, неподконтрольную системе; с сетью организации он взаимодействует изнутри (если крякнет вай-фай). Где внешка?
mayorovp
Что, и даже пароль на Wi-Fi не поможет?..