Cuộc tấn công mạng bằng máy bay không người lái đã xâm phạm mạng công ty

27 tháng 7, 2023

Chắc hẳn không ai ở công ty đầu tư chú ý đến tiếng vù vù của cánh máy bay không người lái ở trên đầu — hoặc nghe thấy tiếng hai chiếc máy bay thu nhỏ hạ cánh trên sân thượng — nếu chúng gây ra bất kỳ tiếng động nào.


Nhưng khi đến địa điểm đó, những chiếc máy bay không người lái bắt đầu tấn công và thực hiện nhiệm vụ bí mật của chúng là đột nhập vào mạng công ty.


Đây là câu chuyện có thật về một cuộc tấn công bằng máy bay không người lái dẫn đến vi phạm dữ liệu của công ty.


Chi tiết tấn công mạng bằng máy bay không người lái


Nhà nghiên cứu bảo mật Greg Linares, hay còn gọi là @Laughing_Mantis, giải thích về cuộc tấn công mạng dựa trên máy bay không người lái trong chuỗi các tweet gần đây. Mặc dù không trực tiếp tham gia vào cuộc điều tra, Linares cho biết ông đã tương tác với những người liên quan, đây cũng là một phần công việc của ông trong lĩnh vực tài chính.


Linares cho biết mọi thứ lần đầu tiên leo thang khi mục tiêu là một công ty tài chính ở Bờ Đông Hoa Kỳ chuyên về đầu tư tư nhân, phát hiện ra một số hoạt động bất thường trên trang Atlassian Confluence nội bộ của công ty. Đội ngũ bảo mật lưu ý rằng hoạt động bắt nguồn từ mạng của chính họ. Confluence là một công cụ cộng tác nơi các nhóm nội bộ tại một công ty chia sẻ thông tin khi họ làm việc cùng nhau. Đôi khi những nội dung này có thể bao gồm các chi tiết và dự án quan trọng, có tính rủi ro cao — và đây chính xác là thông tin mà những kẻ tấn công đang hy vọng tìm thấy.


Đội ngũ bảo mật của công ty đã cách ly máy chủ Confluence và bắt đầu ứng phó sự cố. Khi điều tra, họ đã phát hiện ra điều gì đó bất thường liên quan đến địa chỉ MAC của người dùng bị nghi ngờ, đây là một mã định danh phần cứng duy nhất. Địa chỉ MAC tiết lộ rằng người dùng được đề cập đã đăng nhập từ một thiết bị cách đó vài dặm. Tuy nhiên, cùng lúc đó, địa chỉ MAC giống hệt đã được sử dụng rất gần văn phòng của công ty. Trên thực tế gần đến mức thiết bị đó thực sự nằm trong phạm vi phủ sóng Wi-Fi.


Sau đó, những người ứng phó sự cố đã tiến hành theo dõi Wi-Fi nhúng để xem tín hiệu sao chép đến từ đâu. Linares bắt đầu câu chuyện sau:


Ảnh chụp màn hình các tweet của @Laughing_Mantis (được sử dụng với sự cho phép)

 

Theo dõi Wi-Fi đã dẫn đội ngũ bảo mật đến mái nhà của tòa nhà, và họ đã tìm thấy hai máy bay không người lái DJI đã được sửa đổi. Một trong số chúng đang mang theo thiết bị Wi-Fi Pineapple đã được sửa đổi, thiết bị này đang giả mạo mạng Wi-Fi mà nhân viên thường kết nối.


Wi-Fi Pineapple là một thiết bị có sẵn trên thị trường mà các quản trị viên bảo mật và hacker mũ trắng sử dụng để tiến hành kiểm tra thâm nhập, nhằm tìm ra bất kỳ điểm yếu nào trong hệ thống. Tuy nhiên, nó cũng có thể được sử dụng như một điểm truy cập lừa đảo để thực hiện các cuộc tấn công trung gian (MitM). Trong kiểu tấn công này, kẻ tấn công bí mật chặn và chuyển tiếp tin nhắn giữa hai bên để họ tin rằng đang liên lạc trực tiếp (và duy nhất) với nhau.


Trong trường hợp này, một thiết bị của nhân viên được kết nối với mạng Wi-Fi giả do Wi-Fi Pineapple cung cấp và những kẻ tấn công sau đó có thể chặn dữ liệu — bao gồm thông tin đăng nhập và thông tin Wi-Fi của chúng.



Matrice, một mẫu máy bay không người lái, là máy bay không người lái thứ hai tham gia vào cuộc tấn công và “công cụ” của nó bao gồm “một Raspberry Pi, một số pin, một máy tính xách tay mini dòng GPD, một modem 4G và một thiết bị Wi-Fi khác”. Những thứ này có thể được sử dụng cho các mục đích hợp pháp như kiểm tra an ninh mạng — và các mục đích bất hợp pháp — như xâm nhập vào mạng Wi-Fi, như đã xảy ra trong trường hợp này để thực hiện đầu tư cho một mục tiêu.



Có nhiều cuộc tấn công mạng từ bầu trời không?

Các cuộc tấn công mạng do máy bay không người lái gây ra đang trở nên thường xuyên hơn? Nhà nghiên cứu mối đe dọa nổi tiếng nhất của BlackBerry Dmitry Bestuzhev tin rằng chúng đang xảy ra và nói rằng xu hướng này sẽ không làm chúng ta ngạc nhiên. “Các cuộc tấn công bằng máy bay không người lái là một tiêu chuẩn mới. Chúng đã từng là thiết bị cần thiết trong các cuộc xung đột thực tế và hiện là một phần của bề mặt tấn công mạng.”


Đội ngũ Nghiên cứu Mối đe dọa của BlackBerry đã biết về các trường hợp trước đây khi máy bay không người lái bay bên ngoài cửa sổ của các tòa nhà cao tầng có nhân viên của công ty mục tiêu, có khả năng cố gắng chụp ảnh hoặc ghi lại thông tin nhạy cảm được hiển thị trên màn hình máy tính, màn hình hoặc bảng trắng. Có lẽ chúng ta nên thêm điều này vào danh sách 8 cách kỳ lạ mà nhân viên có thể vô tình làm lộ dữ liệu.


Ngoài ra, kiểu tấn công này chỉ ra một xu hướng khác đang hình thành trong một khoảng thời gian, trong đó một mối đe dọa mới từ thực tế dẫn đến một cuộc tấn công trong thế giới mạng.


Drone Cyberattack tiết lộ liên kết vật lý và an ninh mạng

Giám đốc An ninh Thông tin của BlackBerry John McClurg bắt đầu nói về sự hội tụ của an ninh vật lý và an ninh mạng từ nhiều thập kỷ trước khi ông còn là đặc vụ giám sát và giám đốc chi nhánh của FBI. Một ví dụ mà anh ấy nhớ lại có liên quan đến một “phreaker” – là tiếng lóng chỉ kẻ xâm nhập vào mạng viễn thông.


“Trong khi cố gắng giành quyền truy cập vào Văn phòng trung tâm của công ty điện thoại, kẻ lừa đảo đã chọn một ổ khóa vật lý 30 năm tuổi, rỉ sét. Khi vào bên trong, anh ta nhanh chóng đánh cắp mật khẩu, hướng dẫn sử dụng hệ thống và thiết bị. Điều này cho phép anh ta tiến hành một cuộc tấn công mạng tinh vi hơn nhiều vào căn hộ của mình so với những gì anh ta có thể thực hiện trừ lỗ hổng vật lý mà anh ta đã khai thác ngay từ đầu.”


Bất chấp nhiều năm xảy ra các cuộc tấn công mạng liên quan đến các lỗ hổng bảo mật vật lý, hầu hết việc cố gắng bảo mật vật lý và an ninh mạng vẫn rất kín kẽ, tạo ra các điểm mù. McClurg kêu gọi các tổ chức xem xét cách hội tụ các khía cạnh bảo mật này để có thể giảm thiểu rủi ro.


“Cơ sở hạ tầng hỗ trợ của chương trình truy cập bảo mật vật lý hiện nằm trên mạng. Việc đặt các màn hình phản ánh trạng thái của hệ thống đó bên cạnh những màn hình đang được người vận hành an ninh mạng giám sát — trong vài giờ hoạt động của SOC — tạo cơ hội đào tạo chéo và tận dụng số lượng nhân viên nếu không thì có thể phải nhân đôi số lượng.


“Và mối tương quan nhanh hơn về mức độ liên quan có thể có giữa các báo cáo vật lý và những gì được nhìn thấy trong môi trường mạng có thể bị ảnh hưởng với tốc độ nhanh hơn.”


Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) minh họa trực quan mối liên hệ giữa bảo mật vật lý — đặc biệt là các thiết bị Internet of Things (IoT) — và an ninh mạng, trong sơ đồ bên dưới.

Biểu đồ — CISA.gov

  

Các bước để hội tụ an ninh mạng

Việc cố gắng đề xuất các bảo mật rời rạc vào trạng thái hội tụ sẽ không xảy ra trong một sớm một chiều; trên thực tế, có thể sẽ mất nhiều đêm (và nhiều ngày) để hoàn thành. Nhưng trong một hướng dẫn của CISA về hội tụ đã cho rằng khoản thanh toán cho các tập đoàn đáng để đầu tư.


“Khi công nghệ phát triển nhanh chóng ngày càng liên kết các thiết bị vật lý và không gian mạng—bao trùm các lĩnh vực từ năng lượng và giao thông vận tải đến nông nghiệp và chăm sóc sức khỏe—lợi ích của các chức năng bảo mật hội tụ vượt xa những thách thức của nỗ lực thay đổi tổ chức và cho phép một chiến lược linh hoạt, bền vững dựa trên các mục tiêu và thực tiễn bảo mật được chia sẻ .”


Điều này đặt ra một câu hỏi hợp lý: Làm thế nào để bạn bắt đầu hành trình kết hợp an ninh vật lý và an ninh mạng? McClurg cho biết một bước quan trọng liên quan đến cơ cấu lãnh đạo và báo cáo. “Đưa lịch sử số lượng nhân viên và ngân sách liên quan đến các hoạt động bí mật này cho người đứng đầu vận hành. Nếu bạn đang thuê một giám đốc an ninh, điều đó đã được chứng minh là có lợi trong các trường hợp trước đây để đảm bảo rằng CSO mới là đồng cấp của CIO hiện tại và cả hai đều báo cáo cho cùng một nhà lãnh đạo.”


Ngoài ra, khi bạn lên kế hoạch cho hành trình của mình, hãy xem hướng dẫn CISA, An ninh mạng và An ninh vật lý hội tụ.


Ngăn chặn các cuộc tấn công mạng bằng máy bay không người lái

Ngoài các xu hướng toàn cảnh, chúng ta hãy nói cụ thể về cách giảm cơ hội thành công của một cuộc tấn công mạng dựa trên máy bay không người lái — hoặc điều gì đó tương tự — được thực hiện nhằm vào tổ chức của bạn.


Greg Linares đã đưa ra lời khuyên:


“Khi nói đến 'các sự kiện bảo mật kết hợp' (các tình huống kết hợp cả an ninh mạng và bảo mật vật lý với nhau để xâm phạm một môi trường hoặc cá nhân), quan trọng nhất là biết những gì có thể bị nhắm mục tiêu.Đội ngũ bảo mật nên đảm bảo rằng họ khảo sát các vị trí thực tế của mình và nhận thức được tín hiệu nào có thể đạt được và nơi có thể truy cập chúng,” ông nói.


“Kẻ tấn công có thể nhắm mục tiêu Wi-Fi, Bluetooth, ZigBee, mạng di động 3G/4G/5G, NFC và các tín hiệu vô tuyến khác bằng thiết bị rất dễ tiếp cận. Đội ngũ bảo mật cũng nên biết những khu vực mà kẻ tấn công có thể tiếp cận thực tế: Mái nhà, đơn vị HVAC, không gian chung, cửa sổ, gờ, ngõ, lỗ thông hơi, bãi đậu xe và lối thoát hiểm, tất cả đều tạo cơ hội cho kẻ tấn công cài đặt thiết bị.


Và Bestuzhev thêm một số kỹ thuật phòng thủ bổ sung. "Các công ty phải chú ý đến mối đe dọa này bằng cách sử dụng các công nghệ chống máy bay không người lái và gây nhiễu các hoạt động đó. Nếu điều này không thể thực hiện, thì mô hình mối đe dọa phải bao gồm việc tăng cường bằng cách ngăn chặn truy cập trái phép vào mạng công ty."


Ông đưa ra các hướng dẫn sau đây. Việc cần triển khai bao nhiêu trong số các hướng dẫn này liên quan đến mức độ chấp nhận rủi ro và ngân sách của tổ chức.

  1. Sử dụng kết nối có dây thay vì Wi-Fi
  2. Nếu bắt buộc phải có Wi-Fi, hãy sử dụng xác thực nâng cao dựa trên chứng chỉ kỹ thuật số và thông tin đăng nhập của người dùng thay vì mật khẩu Wi-Fi đơn giản.
  3. Tắt Wi-Fi dựa trên lịch biểu — tắt Wi-Fi ngoài giờ làm việc.
  4. Lưu ý là địa chỉ MAC được truyền dưới dạng văn bản thuần túy và chúng không được bảo mật. Bất kỳ ai đang dò tìm lưu lượng truy cập Wi-Fi của bạn sẽ nắm bắt được và nhìn thấy nó ở dạng văn bản rõ ràng.
  5. Không có ghi chú dán với mật khẩu!
  6. Không có màn hình mở khóa nào không được giám sát tại văn phòng. Và sử dụng màn hình riêng tư.
  7. Ý tưởng về một trung tâm điều hành bảo mật (SOC) 24/7 được kích hoạt với những người vận hành có tay nghề cao kiểm tra các cảnh báo và không chỉ dựa vào các tín hiệu của nguồn cấp dữ liệu.
  8. Thường xuyên kiểm tra người dùng đã kích hoạt của tổ chức và chứng chỉ của họ, cùng với mật khẩu.
  9. Ghi nhật ký mọi thứ — các kết nối thành công và không thành công — và lưu nhật ký càng lâu càng tốt.
  10. Tập trung vào trinh sát và phát hiện chuyển động ngang, thường được sử dụng bởi các tác nhân đe dọa sau khi có được quyền truy cập.


Hy vọng rằng hướng dẫn này sẽ giúp tổ chức cải thiện tình trạng bảo mật của mình, vì các tác nhân đe dọa ngày càng sử dụng nhiều máy bay không người lái và các công cụ vật lý khác để tấn công tài sản mạng của chúng ta.



Nguồn: blogs.blackberry.com

Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: