Sterczące radośnie ze ścian i podłóg porty ethernetowe (a czasem i usb) są coraz większą zachętą dla cyberprzestępców by zostawić w nich jakąś niespodziankę. Jak poinformował Kaspersky, w ostatnich dwóch latach zajmowali się badaniem serii naruszeń bezpieczeństwa w kilku wschodnioeuropejskich bankach. Co najmniej osiem z nich miało wspólną cechę: pierwszym etapem ataku było zostawienie przez włamywaczy urządzenia wpiętego bezpośrednio do sieci lokalnej instytucji.
Przestępcy wcielali się w rolę poszukujących pracy, dostawców, klientów – i wykorzystywali chwilę nieuwagi gospodarzy, by podłączyć niewielkie urządzenie do sieci. We wskazanych przez Kaspersky’ego przypadkach, były to albo tani notebook, albo Raspberry Pi, albo Bash Bunny.
Po zostawieniu urządzenia, włamywacze łączyli się z nim za pośrednictwem modemu komórkowego, i zbierali informacje przydatne w kolejnych fazach ataku: dane podłączonych komputerów, zawartość otwartych folderów itp. Jednocześnie próbowano się do nich włamać za pomocą podsłuchanych haseł lub bruteforcem.
Co istotne – atak był prowadzony z sieci lokalnej, która nie zawsze jest tak dobrze monitorowana jak łącza ze światem. Połączenie z internetem przez większość czasu było zapewniane przez modem, dzięki czemu nie wychwytywały go IDSy ani nie blokowały firewalle.
A u nas?
Od wielu lat jestem gościem w wielu korporacjach i instytucjach państwowych – w tym takich, które zajmują się naszym bezpieczeństwem. Wielokrotnie zostawałem bez opieki w salach, w których port ethernet był na wyciągnięcie ręki. Nie tylko w salach konferencyjnych – czasem odpiętych od sieci firmowej – ale również w pokojach szefostwa czy na korytarzach (tak, tam są podpinane drukarki). Czasem komputery stacjonarne osób zajmujących się bezpieczeństwem są ustawione w taki sposób, że panel z portami USB jest skierowany prosto w nogi gościa.
Podejrzewam, że z „pułapek” tego typu od lat korzystają nie tylko pentesterzy – a spadające ceny urządzeń typu Raspberry Pi Zero W zachęcają do eksperymentów.
Obronić nas może tylko traktowanie sieci lokalnej dokładnie tak samo, jak sieci zewnętrznej – jako niezaufanej. Każda komunikacja po LANie musi być szyfrowana, każdy dostęp do zasobu musi być autoryzowany. No i aktualizowanie komputerów, które „przecież nie są widoczne z internetu” to podstawa. Nawet jeśli nie korzystamy z nich do przeglądania sieci.
Wiekszosc switchy i routerow podniesie alarm gdy zobaczy nieautoryzowany host w sieci, gorzej z wifi