С чего обычно начинается расследование киберинцидента? Как правило, с поисков источников заражения. Как правило, найти их не очень сложно — пришло письмо с зловредом или ссылкой, или кто-то взломал сервер. У нормальных ИБ-специалистов есть список всего оборудования — достаточно вычислить, с какой из машин началась вредоносная активность. Но что делать, если все компьютеры чисты, а вредоносная активность идет? Недавно наши эксперты столкнулись именно с такой ситуацией: злоумышленники подключали собственное оборудование к корпоративной сети.
Суть атаки, названной нашими экспертами DarkVishnya, заключается в том, что преступник приносит в офис жертвы свои устройства и подключает их к корпоративной сети. После этого он получает возможность удаленно исследовать ИТ-инфраструктуру компании, перехватывать пароли доступа к разному оборудованию, считывать информацию из общих папок и многое другое.
Что за устройства?
В ходе расследования наши эксперты выявили три типа устройств. Неизвестно, применялись ли они одной группировкой или несколькими, но принцип во всех трех случаях использовался один.
- Недорогой ноутбук или нетбук. Топовые характеристики злоумышленникам не нужны, поэтому покупается б/у машина на какой-нибудь барахолке. В него втыкается 3G-модем и устанавливается программа дистанционного управления. После этого достаточно спрятать устройство так, чтобы оно не бросалось в глаза, и подключить его к сети и электропитанию.
- Raspberry Pi — миниатюрный компьютер, который питается через USB. Это недорогое и незаметное устройство легко приобрести или самостоятельно спаять, а спрятать в офисе — гораздо легче, чем ноутбук. Для питания его можно воткнуть хоть в компьютер, где его не сразу обнаружат среди прочих проводов, хоть в USB-порт телевизора.
- Bash Bunny — устройство, которое позиционируется как инструмент пен-тестера и свободно продается на хакерских форумах. Ему не нужно отдельного подключения к корпоративной сети, оно работает через USB-порт компьютера. С одной стороны, оно выглядит как флешка, а значит, более незаметно, но с другой — технология контроля подключаемых устройств среагирует на него в момент подключения, так что этот вариант атаки менее универсален.
Как подключают?
Даже в компаниях, где к вопросам безопасности относятся серьезно, подключить такое устройство возможно. Несмотря на жесткую пропускную систему, на территорию офисов часто допускаются курьеры, соискатели работы, представители клиентов или партнеров. Выдать себя за кого-то из них может любой.
Дополнительный риск возникает из-за того, что Ethernet-розетки в офисах зачастую устанавливают где попало — в коридорах, переговорных комнатах, в общих холлах. Иногда еще до поста охраны. Если внимательно осмотреть помещение среднестатистического бизнес-центра, нередко можно найти места, куда можно спрятать небольшое устройство, подключив его к сети и электроснабжению.
Что делать?
У этой атаки есть как минимум одно сомнительное место — злоумышленник должен физически присутствовать на территории офиса жертвы. Поэтому начать следует с ограничения доступа к сети из мест, в которые потенциально могут зайти посторонние.
- Следует отключить неиспользуемые Ethernet-розетки в местах общего доступа.
- Если такой возможности нет, имеет смысл выделить их в изолированный сегмент сети.
- В идеале Ethernet-розетки должны быть в зоне видимости камер безопасности (по крайней мере, это здорово поможет в расследовании инцидента).
- Используйте защитные решения с надежными технологиями контроля подключаемых устройств (например, Kaspersky Endpoint Security для бизнеса).
- Подумайте над необходимостью применения специализированных решений для регистрации аномалий и подозрительной активности в сети, таких как Kaspersky Anti Targeted Attack Platform.Kaspersky Endpoint Security for business
В капитализме, как в лесу, есть хищники и те которыми они кормятся.