DarkVishnya: атака через подброшенные устройства

6 декабря 2018

С чего обычно начинается расследование киберинцидента? Как правило, с поисков источников заражения. Как правило, найти их не очень сложно — пришло письмо с зловредом или ссылкой, или кто-то взломал сервер. У нормальных ИБ-специалистов есть список всего оборудования — достаточно вычислить, с какой из машин началась вредоносная активность. Но что делать, если все компьютеры чисты, а вредоносная активность идет? Недавно наши эксперты столкнулись именно с такой ситуацией: злоумышленники подключали собственное оборудование к корпоративной сети.

Ему не нужно отдельного подключения к корпоративной сети, оно работает через USB-порт компьютера.

Суть атаки, названной нашими экспертами DarkVishnya, заключается в том, что преступник приносит в офис жертвы свои устройства и подключает их к корпоративной сети. После этого он получает возможность удаленно исследовать ИТ-инфраструктуру компании, перехватывать пароли доступа к разному оборудованию, считывать информацию из общих папок и многое другое. Технические подробности этой атаки можно найти в посте на сайте Securelist.

В случае, с которым столкнулись наши эксперты, целью атаки были банки в Восточной Европе. Однако потенциально этот метод может применяться против любой крупной цели. Чем больше компания, тем легче спрятать вредоносное устройство. Особенно сложно расследовать инцидент в том случае, если у жертвы множество офисов по всему миру.

Что за устройства?

В ходе расследования наши эксперты выявили три типа устройств. Неизвестно, применялись ли они одной группировкой или несколькими, но принцип во всех трех случаях использовался один.

  • Недорогой ноутбук или нетбук. Топовые характеристики злоумышленникам не нужны, поэтому покупается б/у машина на какой-нибудь барахолке. В него втыкается 3G-модем и устанавливается программа дистанционного управления. После этого достаточно спрятать устройство так, чтобы оно не бросалось в глаза, и подключить его к сети и электропитанию.
  • Raspberry Pi — миниатюрный компьютер, который питается через USB. Это недорогое и незаметное устройство легко приобрести или самостоятельно спаять, а спрятать в офисе — гораздо легче, чем ноутбук. Для питания его можно воткнуть хоть в компьютер, где его не сразу обнаружат среди прочих проводов, хоть в USB-порт телевизора.
  • Bash Bunny — устройство, которое позиционируется как инструмент пен-тестера и свободно продается на хакерских форумах. Ему не нужно отдельного подключения к корпоративной сети, оно работает через USB-порт компьютера. С одной стороны, оно выглядит как флешка, а значит, более незаметно, но с другой — технология контроля подключаемых устройств среагирует на него в момент подключения, так что этот вариант атаки менее универсален.

Как подключают?

Даже в компаниях, где к вопросам безопасности относятся серьезно, подключить такое устройство возможно. Несмотря на жесткую пропускную систему, на территорию офисов часто допускаются курьеры, соискатели работы, представители клиентов или партнеров. Выдать себя за кого-то из них может любой.

Дополнительный риск возникает из-за того, что Ethernet-розетки в офисах зачастую устанавливают где попало — в коридорах, переговорных комнатах, в общих холлах. Иногда еще до поста охраны. Если внимательно осмотреть помещение среднестатистического бизнес-центра, нередко можно найти места, куда можно спрятать небольшое устройство, подключив его к сети и электроснабжению.

Что делать?

У этой атаки есть как минимум одно сомнительное место — злоумышленник должен физически присутствовать на территории офиса жертвы. Поэтому начать следует с ограничения доступа к сети из мест, в которые потенциально могут зайти посторонние.

  • Следует отключить неиспользуемые Ethernet-розетки в местах общего доступа.
  • Если такой возможности нет, имеет смысл выделить их в изолированный сегмент сети.
  • В идеале Ethernet-розетки должны быть в зоне видимости камер безопасности (по крайней мере, это здорово поможет в расследовании инцидента).
  • Используйте защитные решения с надежными технологиями контроля подключаемых устройств (например, Kaspersky Endpoint Security для бизнеса).
  • Подумайте над необходимостью применения специализированных решений для регистрации аномалий и подозрительной активности в сети, таких как Kaspersky Anti Targeted Attack Platform.Kaspersky Endpoint Security for business