Кибер-угроза в посылке

Методы кибер-преступников постоянно совершенствуются. К примеру, среди инцидентов этого года можно отметить внедрение вредоносного кода на тысячах сайтах электронной коммерции для кражи персональных данных и использование LinkedIn для установки шпионского ПО. И эти техники работают: ущерб от кибер-преступлений в 2018 г. оценивается в 45 млрд. долл.

Недавно исследователи из проекта X-Force Red компании IBM представили концепцию, которая может стать следующим шагом в эволюции кибер-преступлений. Она называется warshipping, и сочетает в себе технические методы с другими, более традиционными.

Warshipping использует доступный, недорогой и маломощный компьютер для удаленного выполнения атак в непосредственной близости от жертвы вне зависимости от местоположения самих кибер-преступников. Для этого, по обычной почте в виде посылки в офис жертвы отправляется небольшое устройство, содержащее модем с 3G-подключением. Это позволяет управлять устройством удаленно.

Как только так называемый «военный корабль» (warship) физически оказывается внутри офиса жертвы, устройство начинает прослушивать пакеты данных по беспроводной сети, которые оно может использовать для проникновения в сеть. Оно также прослушивает процессы авторизации пользователей для подключения к сети Wi-Fi жертвы и через сотовую связь отправляет эти данные киберпреступнику, чтобы он мог расшифровать эту информацию и получить пароль к Wi-Fi сети жертвы.

Используя это беспроводное подключение, злоумышленник теперь может передвигаться по сети жертвы, выискивая уязвимые системы, доступные данные, а также красть конфиденциальную информацию или пароли пользователей.

По мнению специалистов, данная атака вполне может стать скрытой, эффективной инсайдерской угрозой: она недорогая и не сложная в реализации, а также может остаться незамеченной со стороны жертвы. Более того, злоумышленник может организовать эту угрозу издалека, находясь на значительном расстоянии. В ряде компаний, где ежедневно проходит большой объем почты и посылок, достаточно легко не заметить или не обратить внимания на небольшую посылку.

Одним из аспектов, который делает warshipping чрезвычайно опасным, – является то, что этот метод позволяет обойти защиту электронной почты, которая внедрена у жертвы для предотвращения вредоносных программ и других атак, распространяющихся через вложения.

Учитывая, что в данном случае речь идет о физическом векторе атаки, над которым нет контроля, может показаться, что нет ничего, что могло бы остановить данную угрозу. Это один из тех случаев, когда осторожность при работе с электронной почтой и недоверие к вложениям в электронных письмах не будут работать.

Однако существуют решения, которые способны остановить эту угрозу. Поскольку команды управления исходят от самого warship, данный процесс является внешним по отношению к ИТ-системе организации. И если в инфраструктуре имеются решения, способные автоматически останавливает любые неизвестные процессы в ИТ-системе, теоретически они способны заблокировать такую атаку, полагают в Panda Security.

Пока что это только концепт и специалистам не известно об использовании подобной методики в реальных атаках. Но, как показывает опыт, от появления идеи до ее воплощения у киберпреступников обычно проходит не так уж много времени.