Zazwyczaj badanie każdego cyberincydentu zaczynamy od poszukiwania źródeł infekcji. Nietrudno je znaleźć — wystarczy nam adres e-mail ze szkodliwym programem w załączniku czy złośliwym łączem, a czasami odnajdujemy zhakowany serwer. Z reguły specjaliści od bezpieczeństwa w firmie dysponują listą używanych sprzętów, więc wystarczy tylko dowiedzieć się, który komputer rozpoczął szkodliwą aktywność. A co, jeśli wszystkie są niezainfekowane — a szkodliwa aktywność nadal się pojawia?
Niedawno z taką właśnie sytuacją mieli do czynienia nasi eksperci. Okazało się, że atakujący fizycznie połączyli własny sprzęt do sieci firmowej.
Taki rodzaj ataku, któremu nadano nazwę DarkVishnya, rozpoczyna się od tego, że przestępca wnosi do biura ofiary urządzenie i łączy go z siecią firmową. Wówczas przy użyciu tego urządzenia może on zdalnie przeglądać firmową infrastrukturę IT, przechwytywać hasła, odczytywać informacje z folderów publicznych i wiele więcej.
Szczegóły techniczne związane z tym atakiem opisaliśmy w poście w serwisie SecureList. W tym przypadku zaatakowanych zostało kilka banków w Europie Wschodniej. Jednak metoda ta z pewnością ma potencjał — można użyć jej w odniesieniu do dowolnej większej firmy. Im większa, tym lepsza, bowiem znacznie łatwiej jest ukryć szkodliwe urządzenie w dużym biurze. Działanie takie będzie najskuteczniejsze szczególnie w sytuacji, gdy firma ma wiele biur rozproszonych na całym świecie i są one połączone do jednej sieci.
Urządzenia
W ramach badania tego przypadku nasi eksperci dotarli do trzech rodzajów urządzeń. Chociaż jeszcze nie wiemy, czy wszystkie z nich zostały użyte przez jedną grupę, czy atakujących było więcej, wszystkie ataki opierały się na tej samej zasadzie. Wśród wykorzystanych urządzeń znajdowały się:
- Tani laptop lub netbook. Atakujący nie potrzebują flagowego modelu; mogą kupić komputer używany, podłączyć do niego modem 3G i zainstalować program umożliwiający kontrolę zdalną. Mogą ukryć urządzenie i podłączyć do niego dwa kable — jeden do internetu, a drugi do zasilania.
- Raspberry Pi. To miniaturowy komputer zasilany przez złącze USB. Raspberry Pi jest niedrogi i niepozorny — łatwiej go kupić i ukryć w biurze niż laptop. Można go podłączyć do komputera, gdzie zniknie w natłoku innych kabli, lub na przykład do portu USB w telewizorze w holu czy poczekalni.
- Bash Bunny. Przeznaczony do użytku jako narzędzie do testów penetracyjnych, Bash Bunny jest swobodnie sprzedawany na forach, z których korzystają hakerzy. Nie potrzebuje on specjalnego połączenia z siecią; działa poprzez port USB komputera. Z jednej strony, pozwala to na łatwiejsze ukrycie go — wygląda jak dysk flash. Jednak z drugiej strony, może zostać natychmiast wykryty przez technologie kontroli urządzeń, co zmniejsza powodzenie tej opcji.
W jaki sposób są one podłączane?
Nawet w firmach, w których kwestie bezpieczeństwa są traktowane bardzo poważnie, umieszczenie takiego urządzenia nie jest niemożliwe. W biurach często pojawiają się kurierzy, kandydaci do pracy i przedstawiciele klientów czy partnerów, więc atakujący mogą z łatwością podszyć się pod kogoś z nich.
Dodatkowe ryzyko stanowią gniazda sieci Ethernet, zainstalowane niemal wszędzie w biurach — w korytarzach, salach konferencyjnych, holach. Wystarczy rozejrzeć się, aby znaleźć miejsce, w którym można ukryć małe urządzenie połączone z siecią i zasilaniem.
Jak zapewnić sobie większe bezpieczeństwo?
Atak ten ma co najmniej jeden słaby aspekt — atakujący musi wejść do biura i fizycznie podłączyć urządzenie. W związku z tym należy zacząć od ograniczenia dostępu do sieci z miejsc, do których dostęp mają osoby postronne.
- Odłącz nieużywane gniazda sieci Ethernet w miejscach publicznie dostępnych. Jeśli nie jest to możliwe, spróbuje odizolować je w oddzielnym segmencie sieci.
- Gniazda sieci Ethernet rozmieść na widoku kamer (mogą one odstraszać lub pomóc w sytuacji, gdy trzeba będzie zbadać incydent).
- Używaj rozwiązania bezpieczeństwa zawierającego niezawodne technologie kontroli urządzeń (na przykład Kaspersky Endpoint Security for Business).
- Rozważ używanie wyspecjalizowanego rozwiązania do monitorowania anomalii i podejrzanej aktywności w sieci (no przykład Kaspersky Anti Targeted Attack Platform).