Устройства атакуют банк изнутри 29.01.2019 12:42В обзоре новостей об инсайдерских угрозах мы рассказываем о последних примерах лучшего передового опыта, инцидентах и тенденциях, чтобы вы были готовы ко всему, с чем вы можете столкнуться.
В декабре прошлого года некоторые банки Восточной Европы были атакованы изнутри с использованием технологии DarkVishnya. Статья об этой атаке Netbooks, RPis, and Bash Bunny Gear — Attacking Banks from the Inside была опубликована в Bleeping Computer
Сенсация
В отличие от множества других кибератак, атака DarkVishnya была реализована с помощью физического устройства, подсоединенного злоумышленниками к корпоративной сети. Хакеры размешали вредоносные устройства (недорогие ноутбуки, устройства Bash Bunny, похожие на USB-накопители, предназначенные для тестирования на проникновение) в офисах и часто подключали их через корпоративные Ethernet-порты. После размещения устройства хакеры могли удаленно контролировать доступ к критическим областям корпоративных серверов. В локальной сети такие устройства отображались как санкционированные ноутбуки, USB-накопители, принтеры и другие устройства, которые обычно используются работниками. .
На второй стадии атаки устройства сканировали сеть в поисках открытых файлов, папок и веб-серверов, на которых содержалась критически важная корпоративная информация. Целью сканирования были учетные данные для платежных систем и другая ценная информация. В большинстве случаев хакеры использовали Powershell для обхода технологии whitelisting и доменных политик.
Выводы
В новостях часто сообщают об атаках, направленных на кражу учетных данных у ничего не подозревающих сотрудников через фишинговые письма, но крайне редко встречаются сообщения о повторяющихся атаках изнутри с помощью физических устройств хакеров. Тем не менее, даже в самые защищенные здания могут проникнуть злоумышленники под видом курьеров, подрядчиков и т.д.
Важно ограничить физический доступ к сети в общедоступных местах или в тех местах, где доступ могут получить несанкционированные посторонние лица (потенциальные злоумышленники). Например, если вы посмотрите на большинство офисных зданий, то найдете доступный Ethernet-порт на столе или в конференц-зале, а может и брошенный ушедшим на обед сотрудником ноутбук.
DarkVishnya – отличный пример физической инсайдерской атаки, которая реализуется на уровне сетевой безопасности. Учитывая успех серийных атак в банках Восточной Европы, можно ожидать больше подобных гибридных инсайдерских атак в 2019 году.