هواپیماهای بدون سرنشین به هکرها کمک کردند تا از راه دور به شبکه یک شرکت مالی نفوذ کنند


چرا مهم است: هکرها یک بردار حمله جدید دارند که در چند سال گذشته با آن بازی می کردند – کیت های نفوذ پهپاد. پهپادها در چند سال گذشته بسیار توانمندتر شده اند و آنها را به گزینه ای مناسب برای قرار دادن مخفیانه تجهیزات نفوذ در نزدیکی شبکه تبدیل کرده است. زمانی فقط یک زمینه تحقیقات امنیتی نظری بود، اکنون پهپادهای هک شده در طبیعت یافت می شوند.

این هفته، The Register در مورد حمله پهپادی که در تابستان رخ داد، گزارش داد. شرکت سرمایه گذاری خصوصی به خطر افتاده این حادثه را مسکوت نگه داشت اما پذیرفت که در مورد آن با محققان امنیتی تحت یک توافق نامه عدم افشای صحبت کند.

مدیران شبکه متوجه شدند که صفحه Confluence داخلی شرکت رفتار عجیبی را در شبکه محلی نشان می دهد. Confluence یک نرم افزار همکاری از راه دور مبتنی بر وب است که توسط Atlassian توسعه یافته است.

ماموران امنیتی در حین بررسی این حادثه دو پهپاد را در پشت بام ساختمان کشف کردند. یکی از آنها یک “DJI Matrice 600 اصلاح شده” و دیگری “DJI Phantom اصلاح شده” بود. ماتریس سقوط کرده بود اما همچنان عملیاتی بود و فانتوم به سلامت فرود آمد.

Matrice با یک کیت نفوذ (کیت قلم) متشکل از Raspberry Pi، یک لپ‌تاپ مینی GDP، یک مودم 4G، یک دستگاه WiFi و چندین باتری مجهز شد. فانتوم یک دستگاه تست نفوذ شبکه که توسط Hak5 ساخته شده بود به نام WiFi Pineapple حمل می کرد.

گرگ لینارس، محقق امنیتی، که با تیم فناوری اطلاعات شرکت صحبت کرد، گفت که بازیگران بد چند روز قبل از حمله از فانتوم برای رهگیری اعتبار و وای فای یک کارمند استفاده کردند. سپس اطلاعات دزدیده شده را در تجهیزات نفوذ پهپاد ماتریس کدگذاری کردند.

پهپاد Matrice صفحه Confluence شرکت را از پشت بام با استفاده از آدرس MAC کارمند و اعتبار دسترسی به خطر انداخت. آن‌ها لاگ‌های Confluence را جستجو کردند و سعی کردند لاگین‌های بیشتری را برای اتصال به سایر دستگاه‌های داخلی سرقت کنند، اما “موفقیت محدود” داشتند.

وقتی متوجه شدند که آدرس MAC کارمند آسیب‌دیده به صورت محلی و چند مایلی دورتر از خانه‌اش وارد شده است، مدیران متوجه شدند که شبکه مورد حمله قرار گرفته است. تیم امنیتی سیگنال وای فای را ایزوله کرده و از یک تستر Fluke برای ردیابی و مکان یابی دستگاه در پشت بام استفاده کرد.

لینارس گفت این سومین حمله سایبری مبتنی بر هواپیماهای بدون سرنشین است که او در دو سال گذشته دیده است، اما می‌گوید این حمله هنوز به کار نیاز دارد. تنها دلیل موفقیت این یکی این بود که شرکت در یک شبکه موقت قرار داشت که به طور کامل ایمن نبود.

مهاجمان به طور خاص یک شبکه دسترسی محدود را هدف قرار دادند که هم توسط شخص ثالث و هم در داخل مورد استفاده قرار می‌گرفت که به دلیل تغییرات اخیر در شرکت امن نبود (به عنوان مثال تغییر ساختار/تغییر نام تجاری، ساختمان جدید، اجاره ساختمان جدید، راه‌اندازی شبکه جدید یا ترکیبی از آن). لینارس به The Register گفت.

حتی در این شبکه ضعیف، حمله همچنان به هفته‌ها «تجسس داخلی» نیاز داشت.

لینارس گفت: «این قطعاً یک عامل تهدید بود که احتمالاً چندین هفته شناسایی داخلی انجام داد، نزدیکی فیزیکی به محیط هدف داشت، بودجه مناسبی داشت و محدودیت‌های امنیتی فیزیکی خود را می‌دانست.»

محققان امنیتی از اوایل سال 2011 با هواپیماهای بدون سرنشین آزمایش کردند. در آن زمان، پهپادهای تجاری موجود برای حمل محموله های مورد نیاز بسیار ضعیف بودند. برد آنها نیز به قدری محدود بود که مهاجم مجبور بود برای نفوذ در محل حاضر شود و هدف را شکست دهد.

همانطور که در این مثال مشاهده می شود، امروزه پهپادها بسیار پیشرفته تر و قدرتمندتر هستند. ادامه پیشرفت‌های پهپادها و اصلاح این بردار حمله می‌تواند آن را به تهدیدی جدی‌تر در سال‌های آینده تبدیل کند.



منبع