atak ukierunkowany

DarkVishnya atakuje od wewnątrz

Z reguły w przypadku ataku specjaliści od bezpieczeństwa w firmie dysponują listą używanych sprzętów, więc wystarczy tylko dowiedzieć się, który komputer rozpoczął szkodliwą aktywność. A co, jeśli wszystkie są niezainfekowane — a szkodliwa aktywność nadal się pojawia?

Nikolay Pankov
07/12/2018

Zazwyczaj badanie każdego cyberincydentu zaczynamy od poszukiwania źródeł infekcji. Nietrudno je znaleźć — wystarczy nam adres e-mail ze szkodliwym programem w załączniku czy złośliwym łączem, a czasami odnajdujemy zhakowany serwer. Z reguły specjaliści od bezpieczeństwa w firmie dysponują listą używanych sprzętów, więc wystarczy tylko dowiedzieć się, który komputer rozpoczął szkodliwą aktywność. A co, jeśli wszystkie są niezainfekowane — a szkodliwa aktywność nadal się pojawia?

Niedawno z taką właśnie sytuacją mieli do czynienia nasi eksperci. Okazało się, że atakujący fizycznie połączyli własny sprzęt do sieci firmowej.

Taki rodzaj ataku, któremu nadano nazwę DarkVishnya, rozpoczyna się od tego, że przestępca wnosi do biura ofiary urządzenie i łączy go z siecią firmową. Wówczas przy użyciu tego urządzenia może on zdalnie przeglądać firmową infrastrukturę IT, przechwytywać hasła, odczytywać informacje z folderów publicznych i wiele więcej.

Szczegóły techniczne związane z tym atakiem opisaliśmy w poście w serwisie SecureList. W tym przypadku zaatakowanych zostało kilka banków w Europie Wschodniej. Jednak metoda ta z pewnością ma potencjał — można użyć jej w odniesieniu do dowolnej większej firmy. Im większa, tym lepsza, bowiem znacznie łatwiej jest ukryć szkodliwe urządzenie w dużym biurze. Działanie takie będzie najskuteczniejsze szczególnie w sytuacji, gdy firma ma wiele biur rozproszonych na całym świecie i są one połączone do jednej sieci.

Urządzenia

W ramach badania tego przypadku nasi eksperci dotarli do trzech rodzajów urządzeń. Chociaż jeszcze nie wiemy, czy wszystkie z nich zostały użyte przez jedną grupę, czy atakujących było więcej, wszystkie ataki opierały się na tej samej zasadzie. Wśród wykorzystanych urządzeń znajdowały się:

Tani laptop lub netbook. Atakujący nie potrzebują flagowego modelu; mogą kupić komputer używany, podłączyć do niego modem 3G i zainstalować program umożliwiający kontrolę zdalną. Mogą ukryć urządzenie i podłączyć do niego dwa kable — jeden do internetu, a drugi do zasilania.
Raspberry Pi. To miniaturowy komputer zasilany przez złącze USB. Raspberry Pi jest niedrogi i niepozorny — łatwiej go kupić i ukryć w biurze niż laptop. Można go podłączyć do komputera, gdzie zniknie w natłoku innych kabli, lub na przykład do portu USB w telewizorze w holu czy poczekalni.
Bash Bunny. Przeznaczony do użytku jako narzędzie do testów penetracyjnych, Bash Bunny jest swobodnie sprzedawany na forach, z których korzystają hakerzy. Nie potrzebuje on specjalnego połączenia z siecią; działa poprzez port USB komputera. Z jednej strony, pozwala to na łatwiejsze ukrycie go — wygląda jak dysk flash. Jednak z drugiej strony, może zostać natychmiast wykryty przez technologie kontroli urządzeń, co zmniejsza powodzenie tej opcji.

W jaki sposób są one podłączane?

Nawet w firmach, w których kwestie bezpieczeństwa są traktowane bardzo poważnie, umieszczenie takiego urządzenia nie jest niemożliwe. W biurach często pojawiają się kurierzy, kandydaci do pracy i przedstawiciele klientów czy partnerów, więc atakujący mogą z łatwością podszyć się pod kogoś z nich.

Dodatkowe ryzyko stanowią gniazda sieci Ethernet, zainstalowane niemal wszędzie w biurach — w korytarzach, salach konferencyjnych, holach. Wystarczy rozejrzeć się, aby znaleźć miejsce, w którym można ukryć małe urządzenie połączone z siecią i zasilaniem.

Jak zapewnić sobie większe bezpieczeństwo?

Atak ten ma co najmniej jeden słaby aspekt — atakujący musi wejść do biura i fizycznie podłączyć urządzenie. W związku z tym należy zacząć od ograniczenia dostępu do sieci z miejsc, do których dostęp mają osoby postronne.

Odłącz nieużywane gniazda sieci Ethernet w miejscach publicznie dostępnych. Jeśli nie jest to możliwe, spróbuje odizolować je w oddzielnym segmencie sieci.
Gniazda sieci Ethernet rozmieść na widoku kamer (mogą one odstraszać lub pomóc w sytuacji, gdy trzeba będzie zbadać incydent).
Używaj rozwiązania bezpieczeństwa zawierającego niezawodne technologie kontroli urządzeń (na przykład Kaspersky Endpoint Security for Business).
Rozważ używanie wyspecjalizowanego rozwiązania do monitorowania anomalii i podejrzanej aktywności w sieci (no przykład Kaspersky Anti Targeted Attack Platform).

O drukarkach, które oszalały

Znudzony haker postanowił coś zmalować. Korzystając z wyszukiwarki Shodan, zaatakował drukarki sieciowe. Przekonajcie się, jakie były tego efekty.

Darmowe narzędzia

Ochrona ukierunkowana

Branże

DarkVishnya atakuje od wewnątrz

Urządzenia

W jaki sposób są one podłączane?

Jak zapewnić sobie większe bezpieczeństwo?

Czy Twoja organizacja potrzebuje rozwiązania XDR?

Jak zablokować stronę phishingową

O drukarkach, które oszalały

Porady

Pięć wskazówek dotyczących ochrony przed oprogramowaniem ransomware

Przewodnik po bezpieczeństwie informacji dla nowych pracowników

Czy aplikacje mogą eliminować hałas?

Ataki ransomware na sektor opieki zdrowotnej

Zapisz się, aby otrzymywać informacje o nowych artykułach

Produkty dla domu

Produkty dla małych firm

Produkty dla średnich firm

Produkty dla korporacji

Securelist

Eugene Personal Blog