Revise sus techos: equipo volador atrapado con un kit de intrusión en la red
Se han encontrado drones comerciales modificados que llevan un kit de intrusión de red inalámbrica en un lugar muy poco probable.
La idea de usar drones orientados al consumidor para el hackeo ha sido explorada durante la última década en conferencias de seguridad como Black Hat 2016, tanto en EE. UU . como en Europa . Naomi Wu, una entusiasta de la tecnología de bricolaje, hizo una demostración de un proyecto relacionado llamado Screaming Fist en 2017. Y en 2013, el investigador de seguridad Samy Kamkar hizo una demostración de su dron SkyJack , que usaba una Raspberry Pi para hacerse cargo de otros drones a través de Wi-Fi.
Ahora, este tipo de ataques realmente están ocurriendo.
Greg Linares, un investigador de seguridad, contó recientemente un incidente que dijo ocurrió durante el verano en una firma financiera de la costa este de EE. UU. enfocada en la inversión privada. Le dijo a The Register que no estuvo involucrado directamente con la investigación, pero interactuó con los involucrados como parte de su trabajo en el sector financiero.
Se a tratado de mantener comunicación con un individuo afiliado a la empresa afectada que corroboró el relato de Linares y pidió no ser identificado debido a un acuerdo de confidencialidad y preocupaciones laborales.
En una liga de Twitter, Linares dijo que el incidente de hackeo se descubrió cuando la firma financiera detectó una actividad inusual en su página interna de Atlassian Confluence que se originó dentro de la red de la compañía.
Esto llevó al equipo al techo, donde se descubrieron un ‘DJI Matrice 600 modificado‘ y un ‘DJI Phantom modificado’.
El equipo de seguridad de la empresa respondió y descubrió que el usuario cuya dirección MAC se utilizó para obtener acceso parcial a la red Wi-Fi de la empresa también había iniciado sesión en su casa a varios kilómetros de distancia. Es decir, el usuario estaba activo fuera del sitio, pero alguien dentro del alcance de Wi-Fi del edificio estaba tratando de usar de forma inalámbrica la dirección MAC de ese usuario, lo cual es una señal de alerta. Luego, el equipo tomó medidas para rastrear la señal Wi-Fi y utilizó un sistema Fluke para identificar el dispositivo Wi-Fi.
“Esto llevó al equipo al techo, donde se descubrieron un ‘DJI Matrice 600 modificado’ y una serie ‘DJI Phantom modificado'”, explicó Linares.
El dron Phantom estaba en buenas condiciones y tenía un dispositivo Wi-Fi Pineapple modificado , utilizado para pruebas de penetración de red, según Linares. El dron Matrice llevaba un estuche que contenía una Raspberry Pi, varias baterías, una mini computadora portátil GPD, un módem 4G y otro dispositivo Wi-Fi. Había aterrizado cerca del sistema de calefacción y ventilación del edificio y parecía estar dañado pero aún funcionaba.
“Durante su investigación, determinaron que el dron DJI Phantom se había utilizado originalmente unos días antes para interceptar las credenciales y el Wi-Fi de un trabajador”, dijo Linares. “Estos datos se codificaron más tarde en las herramientas que se implementaron con Matrice”.
Los atacantes se dirigieron específicamente a una red de acceso limitado, utilizada tanto por un tercero como internamente, que no era segura debido a cambios recientes en la empresa.
Según Linares, las herramientas de los drones se utilizaron para apuntar a la página interna de Confluence de la empresa para llegar a otros dispositivos internos utilizando las credenciales almacenadas allí. El ataque, dijo, tuvo un éxito limitado y es el tercer ataque cibernético que involucra un dron que ha visto en los últimos dos años.
“Los atacantes se dirigieron específicamente a una red de acceso limitado, utilizada tanto por un tercero como internamente, que no era segura debido a cambios recientes en la empresa (por ejemplo, reestructuración/cambio de marca, nuevo edificio, alquiler de nuevo edificio, nueva configuración de red o una combinación de cualquiera de estos escenarios)”, dijo Linares a The Register .
“Esta es la razón por la cual, lamentablemente, esta red temporal tenía acceso limitado para iniciar sesión (credenciales + seguridad MAC). Los atacantes estaban usando el ataque para acceder a un servidor de confluencia de TI interno que contenía otras credenciales para acceder a otros recursos y almacenar TI. procedimientos”.
El problema a largo plazo cobra vida
Linares dijo que había trabajado en un proyecto de drones en 2011 para probar las capacidades de ataque a la red y, en ese momento, la potencia, el peso y el alcance eran factores limitantes.
“Lo revisamos nuevamente en 2015 y la tecnología de drones había recorrido un largo camino”, dijo. “Ahora, en 2022, estamos viendo avances de drones realmente sorprendentes en potencia, alcance y capacidades (por ejemplo, los asombrosos drones sincronizados que muestra China son absolutamente fantásticos)”.
“Esto, junto con las opciones de carga útil de drones que se vuelven más pequeñas y más capaces, por ejemplo, el kit Flipper Zero, … hacen paquetes de ataque viables que son razonables de implementar”, dijo Linares. “Los objetivos en fintech/crypto y cadena de suministro o proveedores de software de terceros críticos serían objetivos ideales para estos ataques en los que un atacante puede cubrir fácilmente sus costos operativos iniciales con ganancias financieras inmediatas o acceso a objetivos más lucrativos”.
Si bien no se ha revelado la identidad del atacante, Linares cree que los responsables hicieron su tarea.
“Este fue definitivamente un actor de amenazas que probablemente realizó un reconocimiento interno durante varias semanas, tenía proximidad física al entorno objetivo, tenía un presupuesto adecuado y conocía sus limitaciones de seguridad física”, dijo.
El investigador principal de amenazas de Sophos, Sean Gallagher, dijo a The Register que el ataque descrito es algo que la gente ha hecho “warwalking” con Wi-Fi Pineapples o el equivalente.
“Rechazas a un usuario de la red real e intentas que se conecte a tu red falsa”, explicó. “Honestamente, a menos que haya un objetivo muy específico, esto es muy bajo en la lista de prioridades de modelado de amenazas para la mayoría de las organizaciones, especialmente cuando hay tantas otras formas de obtener acceso a la red sin tener una presencia física”.
Aún así, podría valer la pena revisar el techo en busca de drones estacionados o flotando de vez en cuando.
Fuente: https://www.theregister.com/2022/10/12/drone-roof-attack/
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.