Por que é importante: Os hackers têm um novo vetor de ataque com o qual vêm brincando nos últimos dois anos – kits de penetração de drones. Os drones se tornaram muito mais capazes nos últimos anos, tornando-os uma opção viável para colocar secretamente equipamentos de intrusão perto de uma rede. Antes apenas um campo de pesquisa teórica de segurança, agora os drones hackers estão sendo encontrados na natureza.
Esta semana, o The Register informou sobre um ataque de drone que aconteceu durante o verão. A empresa de investimento privado comprometida manteve o incidente em silêncio, mas concordou em falar sobre isso com pesquisadores de segurança sob um acordo de confidencialidade.
Os administradores da rede descobriram que a página interna do Confluence da empresa estava exibindo um comportamento estranho dentro da rede local. O Confluence é um software de colaboração remota baseado na web desenvolvido pela Atlassian.
Ao investigar o incidente, a equipe de segurança descobriu dois drones no telhado do prédio. Um era um “DJI Matrice 600 modificado” e o outro era um “DJI Phantom modificado”. O Matrice caiu, mas ainda estava operacional, e o Phantom pousou com segurança.
Para ter uma ideia: Esta é uma Matrice 600 modificada para carregar uma câmera Hasselblad A6D-100c. Crédito da imagem: u/Rotorfreak
O pesquisador de segurança Greg Linares, que falou com a equipe de TI da empresa, disse que os maus atores o Phantom alguns dias antes do ataque para interceptar as credenciais e o WiFi de um funcionário. Eles então codificaram as informações roubadas no equipamento de penetração do drone Matrice.
O drone Matrice comprometeu a página do Confluence da empresa do telhado usando o endereço MAC do funcionário e as credenciais de acesso. Eles vasculharam os logs do Confluence tentando roubar mais logins para se conectar a outros dispositivos internos, mas tiveram “sucesso limitado”. o endereço MAC do funcionário comprometido estava conectado localmente e de sua casa a vários quilômetros de distância. A equipe de segurança isolou o sinal WiFi e usou um testador Fluke para rastrear e localizar o dispositivo no telhado.
DJI Phantom 1 (não o usado no ataque). Crédito da imagem: Nevit Dilmen
Linares disse que este é o terceiro ataque cibernético baseado em drone que ele viu nos últimos dois anos, mas diz que o vetor de ataque ainda precisa ser trabalhado. A única razão pela qual este teve algum sucesso foi que a empresa estava em uma rede temporária que não estava totalmente segura.
“Os invasores visaram especificamente uma rede de acesso limitado, usada por terceiros e internamente, que não era seguro devido a mudanças recentes na empresa (por exemplo, reestruturação/rebranding, novo prédio, aluguel de novo prédio, nova configuração de rede ou uma combinação de qualquer um desses cenários)”, disse Linares ao The Registre-se.
Mesmo nesta rede enfraquecida, o ataque ainda exigiu semanas de “reconhecimento interno”.
” Este foi definitivamente um ator de ameaça que provavelmente fez reconhecimento interno por várias semanas, tinha proximidade física com o ambiente alvo, tinha um orçamento adequado e conhecia suas limitações de segurança física”, disse Linares.
Pesquisadores de segurança têm experimentado drones desde 2011. Naquela época, os drones disponíveis comercialmente eram muito fracos para transportar as cargas necessárias. Seu alcance também era tão limitado que o atacante teria que estar no local para uma intrusão, anulando o propósito.
Hoje, os drones são muito mais avançados e poderosos, pois visto neste exemplo. Os avanços contínuos do drone e o refinamento desse vetor de ataque podem torná-lo uma ameaça mais grave nos próximos anos.
