Pesquisar este portal

14 outubro, 2022

Drones espiões de Wi-Fi: uma nova ameaça às empresas

Drones comerciais modificados foram encontrados carregando um kit de intrusão de rede sem fio em um local muito improvável: no telhado de uma empresa.


*The Register - 12/10/2022

A ideia de usar drones comerciais para hackear foi explorada na última década em conferências de segurança como a Black Hat 2016, tanto nos EUA quanto na Europa. Naomi Wu, uma entusiasta da tecnologia DIY, demonstrou um projeto relacionado chamado Screaming Fist em 2017. E em 2013, o pesquisador de segurança Samy Kamkar demonstrou seu drone SkyJack, que usava um Raspberry Pi para controlar outros drones via Wi-Fi.

Agora, esse tipo de ataque está realmente ocorrendo.

Greg Linares, pesquisador de segurança, relatou recentemente um incidente que, segundo ele, ocorreu durante o verão em uma empresa financeira da Costa Leste dos EUA focada em investimentos privados. Ele disse ao The Register que não estava envolvido diretamente com a investigação, mas interagiu com os envolvidos como parte de seu trabalho no setor financeiro.

The Register se correspondeu com um indivíduo afiliado à empresa afetada que corroborou a conta de Linares e pediu para não ser identificado devido a um acordo de confidencialidade e preocupações trabalhistas.

Em um tópico no Twitter, Linares disse que o incidente de hacking foi descoberto quando a empresa financeira detectou atividades incomuns em sua página interna do Atlassian Confluence que se originou na rede da empresa.

A equipe de segurança da empresa respondeu e descobriu que o usuário cujo endereço MAC foi usado para obter acesso parcial à rede Wi-Fi da empresa também estava conectado em casa a vários quilômetros de distância. Ou seja, o usuário estava ativo fora do local, mas alguém dentro do alcance do Wi-Fi do prédio estava tentando usar sem fio o endereço MAC desse usuário, o que é uma bandeira vermelha. A equipe então tomou medidas para rastrear o sinal Wi-Fi e usou um sistema Fluke para identificar o dispositivo Wi-Fi.

"Isso levou a equipe ao topo, onde uma série 'DJI Matrice 600 modificada' e uma série 'DJI Phantom modificada' foram descobertas", explicou Linares.

O drone Phantom estava em boas condições e tinha um dispositivo Wi-Fi Pineapple modificado, usado para testes de penetração de rede, segundo Linares. O drone Matrice carregava um estojo que continha um Raspberry Pi, várias baterias, um mini laptop GPD, um modem 4G e outro dispositivo Wi-Fi. Ele havia pousado perto do sistema de aquecimento e ventilação do prédio e parecia estar danificado, mas ainda operável.

“Durante a investigação, eles determinaram que o drone DJI Phantom havia sido usado originalmente alguns dias antes para interceptar as credenciais e o Wi-Fi de um trabalhador”, disse Linares. "Esses dados foram posteriormente codificados nas ferramentas que foram implantadas com o Matrice."

De acordo com Linares, as ferramentas nos drones foram usadas para direcionar a página interna do Confluence da empresa para alcançar outros dispositivos internos usando as credenciais armazenadas lá. O ataque, disse ele, teve sucesso limitado e é o terceiro ataque cibernético envolvendo um drone que ele viu nos últimos dois anos.

"Os invasores visaram especificamente uma rede de acesso limitado, usada por terceiros e internamente, que não era segura devido a mudanças recentes na empresa (por exemplo, reestruturação/rebranding, novo prédio, aluguel de novo prédio, nova configuração de rede ou uma combinação de de qualquer um desses cenários)", disse Linares ao The Register.

"Esta é a razão pela qual essa rede temporária infelizmente teve acesso limitado para fazer login (credenciais + segurança MAC). Os invasores estavam usando o ataque para acessar um servidor interno de TI Confluence que continha outras credenciais para acessar outros recursos e armazenar procedimentos de TI ."

O problema de longo prazo ganha vida
Linares disse que trabalhou em um projeto de drone em 2011 para testar os recursos de ataque à rede e, na época, potência, peso e alcance eram fatores limitantes.

“Revisitamos isso novamente em 2015 e a tecnologia de drones percorreu um longo caminho”, disse ele. “Agora, em 2022, estamos vendo avanços de drones realmente incríveis em poder, alcance e capacidades (por exemplo, os incríveis drone sincronizados que a China lança são absolutamente fantásticos)”.

"Isso combinado com opções de carga útil de drone cada vez menores e mais capazes - por exemplo, kit Flipper Zero - ... tornam pacotes de ataque viáveis ​​e razoáveis ​​para implantar", disse Linares. “Alvos em fintech/cripto e cadeia de suprimentos ou fornecedores de software críticos de terceiros seriam alvos ideais para esses ataques, onde um invasor pode cobrir facilmente seus custos operacionais iniciais com ganho financeiro imediato ou acesso a alvos mais lucrativos”.

Embora a identidade do agressor não tenha sido divulgada, Linares acredita que os responsáveis ​​fizeram o dever de casa.

"Este foi definitivamente um ator de ameaças que provavelmente fez reconhecimento interno por várias semanas, tinha proximidade física com o ambiente alvo, tinha um orçamento adequado e conhecia suas limitações de segurança física", disse ele.

O pesquisador sênior de ameaças da Sophos, Sean Gallagher, disse ao The Register que o ataque descrito é algo que as pessoas fizeram "warwalking" com o Wi-Fi Pineapples ou equivalente.

"Você expulsa um usuário da rede real e tenta fazer com que ele se conecte à sua rede falsa", explicou ele. "Honestamente, a menos que haja um direcionamento muito específico, isso é muito baixo na lista de prioridades de modelagem de ameaças para a maioria das organizações, especialmente quando há tantas outras maneiras de obter acesso à rede sem ter uma presença física".

Ainda assim, pode valer a pena verificar o telhado buscando drones estacionados ou pairando de vez em quando.

Nenhum comentário:

Postar um comentário

Seu comentário será submetido ao Administrador. Não serão publicados comentários ofensivos ou que visem desabonar a imagem das empresas (críticas destrutivas).

Postagem em destaque