.
Drones modificados de prateleira foram encontrados carregando um kit de intrusão de rede sem fio em um local muito improvável.
A ideia de usar drones voltados para o consumidor para hackear foi explorada na última década em conferências de segurança como a Black Hat 2016, em ambos os EUA e na Europa. Naomi Wu, uma entusiasta da tecnologia DIY, demonstrou um projeto relacionado chamado Punho Gritante em 2017. E em 2013, o pesquisador de segurança Samy Kamkar demonstrou sua drone SkyJackque usou um Raspberry Pi para dominar outros drones via Wi-Fi.
Agora, esse tipo de ataque está realmente ocorrendo.
Greg Linares, pesquisador de segurança, relatou recentemente um incidente que, segundo ele, ocorreu durante o verão em uma empresa financeira da Costa Leste dos EUA focada em investimentos privados. Ele disse Strong The One que ele não esteve envolvido diretamente com a investigação, mas interagiu com os envolvidos como parte de seu trabalho no setor financeiro.
Strong The One correspondeu-se com um indivíduo afiliado à empresa afetada que corroborou o relato de Linares e pediu para não ser identificado devido a um acordo de confidencialidade e preocupações trabalhistas.
Dentro um tópico do TwitterLinares disse que o incidente de hacking foi descoberto quando a empresa financeira detectou atividades incomuns em sua página interna do Atlassian Confluence que se originou na rede da empresa.
Isso levou a equipe ao topo, onde uma série ‘DJI Matrice 600 modificada’ e uma série ‘DJI Phantom modificada’ foram descobertas
A equipe de segurança da empresa respondeu e descobriu que o usuário cujo endereço MAC foi usado para obter acesso parcial à rede Wi-Fi da empresa também estava conectado em casa a vários quilômetros de distância. Ou seja, o usuário estava ativo fora do local, mas alguém dentro do alcance do Wi-Fi do prédio estava tentando usar sem fio o endereço MAC desse usuário, o que é uma bandeira vermelha. A equipe então tomou medidas para rastrear o sinal Wi-Fi e usou um sistema Fluke para identificar o dispositivo Wi-Fi.
“Isso levou a equipe ao topo, onde uma série ‘DJI Matrice 600 modificada’ e uma série ‘DJI Phantom modificada’ foram descobertas”, explicou Linares.
O drone Phantom estava em boas condições e tinha uma modificação Dispositivo Wi-Fi Abacaxi, usado para testes de penetração de rede, de acordo com Linares. O drone Matrice carregava um estojo que continha um Raspberry Pi, várias baterias, um mini laptop GPD, um modem 4G e outro dispositivo Wi-Fi. Ele havia pousado perto do sistema de aquecimento e ventilação do prédio e parecia estar danificado, mas ainda operável.
“Durante a investigação, eles determinaram que o drone DJI Phantom havia sido usado originalmente alguns dias antes para interceptar as credenciais e o Wi-Fi de um trabalhador”, disse Linares. “Esses dados foram posteriormente codificados nas ferramentas que foram implantadas com o Matrice.”
Os invasores visaram especificamente uma rede de acesso limitado, usada por terceiros e internamente, que não era segura devido a mudanças recentes na empresa
De acordo com Linares, as ferramentas nos drones foram usadas para direcionar a página interna do Confluence da empresa para alcançar outros dispositivos internos usando as credenciais armazenadas lá. O ataque, disse ele, teve sucesso limitado e é o terceiro ataque cibernético envolvendo um drone que ele viu nos últimos dois anos.
“Os invasores visaram especificamente uma rede de acesso limitado, usada por terceiros e internamente, que não era segura devido a mudanças recentes na empresa (por exemplo, reestruturação/rebranding, novo prédio, aluguel de novo prédio, nova configuração de rede ou uma combinação de de qualquer um desses cenários)”, disse Linares Strong The One.
“Esta é a razão pela qual essa rede temporária infelizmente teve acesso limitado para fazer login (credenciais + segurança MAC). Os invasores estavam usando o ataque para acessar um servidor interno de TI Confluence que continha outras credenciais para acessar outros recursos e armazenar TI procedimentos.”
O problema de longo prazo ganha vida
Linares disse que trabalhou em um projeto de drone em 2011 para testar os recursos de ataque à rede e, na época, potência, peso e alcance eram fatores limitantes.
“Nós revisitamos isso novamente em 2015 e a tecnologia de drones percorreu um longo caminho”, disse ele. “Agora, em 2022, estamos vendo avanços de drones realmente incríveis em poder, alcance e capacidades (por exemplo, o incrível drone sincronizado mostra que a China lança são absolutamente fantásticos)”.
“Isso combinado com opções de carga útil de drone cada vez menores e mais capazes – por exemplo, kit Flipper Zero – … tornam pacotes de ataque viáveis que são razoáveis para implantar”, disse Linares. “Alvos em fintech/cripto e cadeia de suprimentos ou fornecedores de software de terceiros críticos seriam alvos ideais para esses ataques, onde um invasor pode cobrir facilmente seus custos operacionais iniciais com ganho financeiro imediato ou acesso a alvos mais lucrativos”.
Embora a identidade do agressor não tenha sido divulgada, Linares acredita que os responsáveis fizeram o dever de casa.
“Este foi definitivamente um ator de ameaças que provavelmente fez reconhecimento interno por várias semanas, tinha proximidade física com o ambiente alvo, tinha um orçamento adequado e conhecia suas limitações de segurança física”, disse ele.
O pesquisador sênior de ameaças da Sophos, Sean Gallagher, disse Strong The One disse que o ataque descrito é algo que as pessoas fizeram “warwalking” com Wi-Fi Pineapples ou equivalente.
“Você expulsa um usuário da rede real e tenta fazer com que ele se conecte à sua rede falsa”, explicou ele. “Honestamente, a menos que haja um direcionamento muito específico, isso é muito baixo na lista de prioridades de modelagem de ameaças para a maioria das organizações, especialmente quando há tantas outras maneiras de obter acesso à rede sem ter uma presença física”.
Ainda assim, pode valer a pena verificar o telhado para drones estacionados ou pairando de vez em quando. ®
.
