Gli attori delle minacce sconosciuti hanno speso fino a $ 15.000 per eseguire un singolo attacco informatico utilizzando l’ananas WiFi e altri strumenti pentest montati su un drone. Il ricercatore di sicurezza Greg Linares ha descritto l’attacco in un thread di Twitter la scorsa settimana, considerandolo il “terzo attacco basato su droni nel mondo reale” che ha incontrato negli ultimi due anni.
Secondo quanto riportato per la prima volta da The Register, l’attacco è stato compiuto contro una società di servizi finanziari della costa orientale specializzata in investimenti privati. Si è svolto la scorsa estate ed è stato rilevato dopo che l’azienda ha notato alcune attività insolite su Atlassian Confluence, uno strumento di collaborazione utilizzato internamente dai team o nell’intera organizzazione.
Linares, che ha detto a The Register che non faceva parte della risposta all’incidente ma ha parlato con qualcuno che lo era, ha detto che il team ha scoperto due droni DJI sul tetto dell’edificio. “Durante la risposta all’incidente hanno scoperto che l’utente il cui indirizzo MAC era stato utilizzato per ottenere un accesso parziale al proprio WIFI era connesso anche da casa a diverse miglia di distanza”, ha detto Linares.
“Il team ha implementato il tracciamento del segnale WIFI integrato e un sistema Fluke per identificare il dispositivo WIFI. Ciò ha portato la squadra sul tetto, dove sono state scoperte una serie “DJI Matrice 600 modificata” e una serie “DJI Phantom modificata”. Il fantasma trasportava un “dispositivo ananas Wi-Fi modificato”.
Un ananas WiFi è uno strumento che white hat e amministratori della sicurezza sfruttano per condurre test di penetrazione per scoprire eventuali vulnerabilità che un sistema potrebbe possedere. Questo in particolare è stato montato su uno dei due droni (DJI Matrice 600). Allo stesso tempo, il Phantom è stato dotato di un kit pentest composto da un Raspberry Pi, diverse batterie, un mini laptop della serie GPD, un modem 4G e un altro dispositivo wifi.
Vedi altro: Sei tecniche di ingegneria sociale apprezzate dai truffatori
L’obiettivo finale degli hacker era quello di annusare, prima all’interno di Confluence, le credenziali, che poi li avrebbero portati ad altre risorse interne dell’azienda. Il DJI Phantom è stato inizialmente utilizzato per la ricognizione che ha intercettato con successo le credenziali di un dipendente e il WiFi giorni prima dell’hacking vero e proprio. Gli hacker lo hanno codificato negli strumenti di pentest implementati sul drone Matrice.
Tuttavia, non è chiaro esattamente a quali credenziali l’attore delle minacce sia stato in grado di accedere. Inoltre, l’utilizzo di un indirizzo MAC interno per accedere a una rete è un modo noto per non attivare l’allarme ed eludere il rilevamento perché a un dispositivo con un MAC non riconosciuto potrebbe essere negato l’accesso. Ma ottenere un MAC interno tramite WiFi è difficile a meno che la chiave wireless non sia disponibile.
Lo spoofing MAC è una spiegazione sebbene il suo successo si basi sul fatto che il dispositivo oggetto di spoofing non è presente nello stesso segmento di rete.
Un’altra spiegazione è che l’azienda aveva subito alcune modifiche prima dell’attacco. Linares ha dichiarato a The Register: “Gli aggressori hanno preso di mira specificamente una rete ad accesso limitato, utilizzata sia da una terza parte che internamente, che non era sicura a causa dei recenti cambiamenti in azienda (ad es. configurazione di rete o una combinazione di uno qualsiasi di questi scenari).”
In ogni caso, i dettagli su come gli aggressori si sono impossessati delle credenziali e degli indirizzi MAC rimangono nascosti.
“L’attacco ha avuto un successo limitato e sembra che una volta scoperti gli aggressori, abbiano accidentalmente fatto schiantare il drone durante il recupero”, ha twittato Linares. Il team di risposta all’incidente ha trovato il drone Phantom “atterrato ordinatamente” e non è stato danneggiato. D’altra parte, la Matrice, che è atterrata vicino alla bocchetta di riscaldamento, ventilazione e aria condizionata (HVAC), è stata danneggiata ma aveva ancora un’operatività limitata.
Un’altra cosa da notare e come affermato – questo era un sistema primitivo rispetto a ciò che è capace – eppure funzionava ancora.
Implementare ispezioni regolari delle aree che possono essere dronite e la sicurezza del wifi dell’indirizzo MAC non è sufficiente nemmeno per le reti ospiti o ad accesso limitato.
— Greg Linares (@Laughing_Mantis) 10 ottobre 2022
La Federal Aviation Administration (FAA) richiede la registrazione di tutti i droni che pesano più di 0,55 libbre (250 grammi). Tutti i droni della serie Phantom e il Matrice 600 di DJI, una società con sede a Shenzhen, in Cina, pesano più del limite di 0,55 libbre (il DJI Matrice 600 pesa 20,9439 libbre (9,5 kg), anche se è improbabile che gli attori della minaccia registrato o utilizzato le loro informazioni reali per acquistare i droni.
L’attacco sembra che siamo nelle prime fasi di un nuovo percorso di attacco.
Fateci sapere se vi è piaciuto leggere questa notizia su LinkedIn, Twittero Facebook. Ci piacerebbe avere tue notizie!
Fonte immagine: Shutterstock
ALTRO SUGLI ATTACCHI CYBER
.