-0.2 C
Узбекистан
Четверг, 28 января, 2021

Как вас могут атаковать через подброшенные устройства

Топ статей за 7 дней

Главные изменения, которые ждут узбекистанцев с 1 февраля

Обзор главных изменений в национальном законодательстве от Norma, которые вступят в силу с 1 февраля 2021 года.Зарплата бюджетных работников...

Девушка из Бухары потеряла 5 миллионов, «выиграв приз» в Telegram-группе

Мошенник обманул 29-летнюю девушку из Бухары, которая вступила в Telegram-группу «Омад-шоу». Связавшись с М.Х. и представившись администратором группы, мошенник сообщил...

Ждать ли потепления? Узгидромет рассказал о погоде на выходных

Ночью зима вновь заявила о себе снегопадом, усилением ветра, местами с порывами до 25-30 м/с и резким понижением температуры....

Подпишитесь на нас

51,858участниковМне нравится
22,961участниковЧитать
2,450участниковПодписаться
Как вас могут атаковать через подброшенные устройства

С чего обычно начинается расследование киберинцидента? Как правило, с поисков источников заражения. Как правило, найти их не очень сложно — пришло письмо с зловредом или ссылкой, или кто-то взломал сервер. У нормальных ИБ-специалистов есть список всего оборудования — достаточно вычислить, с какой из машин началась вредоносная активность. Но что делать, если все компьютеры чисты, а вредоносная активность идет? Недавно наши эксперты столкнулись именно с такой ситуацией: злоумышленники подключали собственное оборудование к корпоративной сети.

Суть атаки, названной нашими экспертами DarkVishnya, заключается в том, что преступник приносит в офис жертвы свои устройства и подключает их к корпоративной сети. После этого он получает возможность удаленно исследовать ИТ-инфраструктуру компании, перехватывать пароли доступа к разному оборудованию, считывать информацию из общих папок и многое другое.

Что за устройства?
В ходе расследования наши эксперты выявили три типа устройств. Неизвестно, применялись ли они одной группировкой или несколькими, но принцип во всех трех случаях использовался один.

  • Недорогой ноутбук или нетбук. Топовые характеристики злоумышленникам не нужны, поэтому покупается б/у машина на какой-нибудь барахолке. В него втыкается 3G-модем и устанавливается программа дистанционного управления. После этого достаточно спрятать устройство так, чтобы оно не бросалось в глаза, и подключить его к сети и электропитанию.


  • Raspberry Pi — миниатюрный компьютер, который питается через USB. Это недорогое и незаметное устройство легко приобрести или самостоятельно спаять, а спрятать в офисе — гораздо легче, чем ноутбук. Для питания его можно воткнуть хоть в компьютер, где его не сразу обнаружат среди прочих проводов, хоть в USB-порт телевизора.


  • Bash Bunny — устройство, которое позиционируется как инструмент пен-тестера и свободно продается на хакерских форумах. Ему не нужно отдельного подключения к корпоративной сети, оно работает через USB-порт компьютера. С одной стороны, оно выглядит как флешка, а значит, более незаметно, но с другой — технология контроля подключаемых устройств среагирует на него в момент подключения, так что этот вариант атаки менее универсален.


Как подключают?

Даже в компаниях, где к вопросам безопасности относятся серьезно, подключить такое устройство возможно. Несмотря на жесткую пропускную систему, на территорию офисов часто допускаются курьеры, соискатели работы, представители клиентов или партнеров. Выдать себя за кого-то из них может любой.

Дополнительный риск возникает из-за того, что Ethernet-розетки в офисах зачастую устанавливают где попало — в коридорах, переговорных комнатах, в общих холлах. Иногда еще до поста охраны. Если внимательно осмотреть помещение среднестатистического бизнес-центра, нередко можно найти места, куда можно спрятать небольшое устройство, подключив его к сети и электроснабжению.

Что делать?

У этой атаки есть как минимум одно сомнительное место — злоумышленник должен физически присутствовать на территории офиса жертвы. Поэтому начать следует с ограничения доступа к сети из мест, в которые потенциально могут зайти посторонние.

  • Следует отключить неиспользуемые Ethernet-розетки в местах общего доступа.


  • Если такой возможности нет, имеет смысл выделить их в изолированный сегмент сети.


  • В идеале Ethernet-розетки должны быть в зоне видимости камер безопасности (по крайней мере, это здорово поможет в расследовании инцидента).


  • Используйте защитные решения с надежными технологиями контроля подключаемых устройств (например, Kaspersky Endpoint Security для бизнеса).


  • Подумайте над необходимостью применения специализированных решений для регистрации аномалий и подозрительной активности в сети, таких как Kaspersky Anti Targeted Attack Platform.Kaspersky Endpoint Security for business


Николай Панков

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

Последние новости

Турки помогут эксплуатировать аэропорты в стране и даже построят новую авиагавань в Ташкенте

Министерство инновационного развития Узбекистана и оператор турецких аэропортов TAV и подписали меморандум о совместных инвестициях и инновационных проектах. TAV возьмется...

Больше похожих статей

ЎЗ