IBM научилась взламывать чужие корпоративные сети с помощью курьерской доставки

Специалисты по кибербезопасности IBM продемонстрировали способ взламывать чужие корпоративные сети с помощью небольшого устройства, которое легко спрятать в почтовых коробках.

"Троянская" служба доставки

Эксперты IBM X-Force Red Team описали методику, посредством которой киберзлоумышленники могут проникнуть в любую домашнюю или корпоративную локальную сеть и выкрасть конфиденциальные данные.

Методика очень простая, при этом вектор взлома неожиданный: физические курьерские доставки.

Службы доставок с курьером любых товаров - в первую очередь, из интернет-магазинов, - сегодня весьма распространены по всему миру. В крупные корпорации ежедневно могут доставляться десятки, если не сотни посылок. Спрятать в них шпионское устройство проще, чем кажется, особенно если оно невелико по размерам.

Метод получил название Warshipping - трудно переводимый термин своеобразного происхождения. Его источник отслеживается к фильму "Военные игры" (WarGames) 1983 г., в котором главный герой - юный хакер настраивает свой компьютер на поочередный автоматический обзвон всех телефонов в окрестностях в надежде наткнуться на подключенный телефонный модем и проникнуть в какую-либо компьютерную сеть. Эта методика получила название WarDialing (Dialing - набор телефонного номера).

От него впоследствии произошло название для другого метода - WarDriving, при котором хакер катается в автомобиле в окрестностях корпоративных зданий в попытках собрать информацию о Wi-Fi-соединениях с помощью сканера (на автомобиль при этом устанавливается специальная антенна). С помощью такой техники хакеры смогли организовать крупную утечку данных из компании TJX в 2005 г., стоившей ей $2 млрд.

Слово War в WarShipping - это как раз отсылка к вышеописанным методам поиска точек входа в сети; Shipping - это доставка груза или товара. При этом устройства, описанные экспертами IBM, получили название WarShips (буквально "военные корабли"), хотя к кораблям они как раз никакого отношения не имеют. Скорее речь идет о физических "троянских конях".

Все из серийных компонентов

Эксперты IBM создали такое устройство. Оно состоит из модифицированного одноплатного компьютера, питающегося от телефонного аккумулятора и снабженного 3G-модемом и GPS-трекером.

Одноплатные компьютеры - довольно дешевая вещь, однако у них есть одна ограничивающая особенность: они потребляют весьма много энергии. Тем не менее, экспертам удалось заставить их расходовать заряд экономно в активном режиме, и не использовать электричество вообще в спящем режиме.

"Используя IoT-модем мы также смогли добиться того, что связь с устройством сохранялась, пока его перевозили, и мы могли обмениваться данными с ним при каждом его включении, - пишут авторы исследования. - Мы также подняли специальный командный сервер, и построенные нами устройства запрашивали через безопасное соединение конкретный файл на это сервере, чтобы определить, должны они оставаться в активном режиме или уйти в спящий. Учитывая, что все используемые компоненты производятся серийно, "бюджет" создания устройства оказывается менее ста долларов".

В процессе транспортировки устройство время от времени будет опрашивать беспроводные соединения в пределах доступности, так же, как это делает, например, ноутбук; а заодно передавать на C&C-сервер свои локальные GPS-координаты.

После того как устройство доставлено по месту назначения (будучи так или иначе спрятанным), его операторы могут начать активное или пассивное сканирование беспроводной сети. Цель таких атак - перехватить данные, которые затем можно взломать на более производительной аппаратуре, например, хэши, из которых в теории можно извлечь предопределенный ключ безопасности для беспроводной сети (экспертам X-Force Red удалось это сделать).

"С помощью нашего устройства мы могли устраивать и другие активные беспроводные атаки, такие, например, как деаутентификация клиентов и "злой двойник", - отметили специалисты X-Force Red. - С помощью "злого двойника" мы подняли с помощью нашего устройства фальшивую беспроводную сеть и заманили в нее жертву. Та ввела реквизиты доступа к реальной сети, которые мы использовали в дальнейшем для развития атаки против беспроводной сети компании".

После этого эксперты X-Force Red Team получили возможность использовать другие уязвимости в локальных ресурсах для компрометации различных устройств (например, гаджетов сотрудника) и обеспечить себе постоянное нахождение в сети.

В ходе тестирования специалистам X-Force Red Team удалось добиться устойчивого присутствия в сети и полного доступа к ресурсам компании, принимавшей участие в исследовании.

"Описанный сценарий выглядит совершенно реалистичным и легко исполнимым, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Эта история - очередное напоминание, что прорыв защитного периметра может произойти в самых неожиданных местах и самым неожиданным образом. Собственно, для выявления таких неявных слабых мест и существуют пентесты".

Защита от свиноподкладывания

Эксперты порекомендовали принять ряд мер для борьбы с подобными ситуациями.

Перво-наперво - проверять посылки таким же образом, как проверяют визитеров. Ничего не должно попадать в офисные помещения "просто так". От пустых коробок стоит избавляться как можно скорее, поскольку в них подобные устройства легко спрятать (достаточно прикрепить их ко дну).

Рекомендуется установить специальный режим безопасности для посылок, которые доставляют лично работникам компании. Если такую политику вводить по каким-то причинам оказывается невозможным, стоит хотя бы досматривать упаковки. Или даже сканировать - особенно в крупных экспедиторских помещениях.

Подключаться следует только к доверенным беспроводным сетям - и избегать тех, которые могут вызывать хотя бы минимальные подозрения.

Эксперты также рекомендуют избегать использования предопределенных ключей в корпоративных средах и регулярно проводить пентесты.