DarkVishnya: ataki z sieci lokalnej

Sterczące radośnie ze ścian i podłóg porty ethernetowe (a czasem i usb) są coraz większą zachętą dla cyberprzestępców by zostawić w nich jakąś niespodziankę. Jak poinformował Kaspersky, w ostatnich dwóch latach zajmowali się badaniem serii naruszeń bezpieczeństwa w kilku wschodnioeuropejskich bankach. Co najmniej osiem z nich miało wspólną cechę: pierwszym etapem ataku było zostawienie przez włamywaczy urządzenia wpiętego bezpośrednio do sieci lokalnej instytucji.

autor zdjęcia: Kaspars Dambis CC-BYPrzestępcy wcielali się w rolę poszukujących pracy, dostawców, klientów – i wykorzystywali chwilę nieuwagi gospodarzy, by podłączyć niewielkie urządzenie do sieci. We wskazanych przez Kaspersky’ego przypadkach, były to albo tani notebook, albo Raspberry Pi, albo Bash Bunny.

Po zostawieniu urządzenia, włamywacze łączyli się z nim za pośrednictwem modemu komórkowego, i zbierali informacje przydatne w kolejnych fazach ataku: dane podłączonych komputerów, zawartość otwartych folderów itp. Jednocześnie próbowano się do nich włamać za pomocą podsłuchanych haseł lub bruteforcem.

Co istotne – atak był prowadzony z sieci lokalnej, która nie zawsze jest tak dobrze monitorowana jak łącza ze światem. Połączenie z internetem przez większość czasu było zapewniane przez modem, dzięki czemu nie wychwytywały go IDSy ani nie blokowały firewalle.

A u nas?

Od wielu lat jestem gościem w wielu korporacjach i instytucjach państwowych – w tym takich, które zajmują się naszym bezpieczeństwem. Wielokrotnie zostawałem bez opieki w salach, w których port ethernet był na wyciągnięcie ręki. Nie tylko w salach konferencyjnych – czasem odpiętych od sieci firmowej – ale również w pokojach szefostwa czy na korytarzach (tak, tam są podpinane drukarki). Czasem komputery stacjonarne osób zajmujących się bezpieczeństwem są ustawione w taki sposób, że panel z portami USB jest skierowany prosto w nogi gościa.

Podejrzewam, że z „pułapek” tego typu od lat korzystają nie tylko pentesterzy – a spadające ceny urządzeń typu Raspberry Pi Zero W zachęcają do eksperymentów.

Obronić nas może tylko traktowanie sieci lokalnej dokładnie tak samo, jak sieci zewnętrznej – jako niezaufanej. Każda komunikacja po LANie musi być szyfrowana, każdy dostęp do zasobu musi być autoryzowany. No i aktualizowanie komputerów, które „przecież nie są widoczne z internetu” to podstawa. Nawet jeśli nie korzystamy z nich do przeglądania sieci.

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →

One Comment on “DarkVishnya: ataki z sieci lokalnej”

  1. Wiekszosc switchy i routerow podniesie alarm gdy zobaczy nieautoryzowany host w sieci, gorzej z wifi

Comments are closed.