О магазине Kaspersky-Security.ru
Задать вопрос Контакты
Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru

8 (800) 350-59-04
ГлавнаяНовости→DarkVishnya: атака через подброшенные устройства

DarkVishnya: атака через подброшенные устройства

Злоумышленникам не обязательно заражать ваши компьютеры, если они могут подключить свои устройства к вашей сети.

С чего обычно начинается расследование киберинцидента? Как правило, с поисков источников заражения. Как правило, найти их не очень сложно — пришло письмо с зловредом или ссылкой, или кто-то взломал сервер. У нормальных ИБ-специалистов есть список всего оборудования — достаточно вычислить, с какой из машин началась вредоносная активность. Но что делать, если все компьютеры чисты, а вредоносная активность идет? Недавно наши эксперты столкнулись именно с такой ситуацией: злоумышленники подключали собственное оборудование к корпоративной сети.

Ему не нужно отдельного подключения к корпоративной сети, оно работает через USB-порт компьютера.

Суть атаки, названной нашими экспертами DarkVishnya, заключается в том, что преступник приносит в офис жертвы свои устройства и подключает их к корпоративной сети. После этого он получает возможность удаленно исследовать ИТ-инфраструктуру компании, перехватывать пароли доступа к разному оборудованию, считывать информацию из общих папок и многое другое. Технические подробности этой атаки можно найти в посте на сайте Securelist.

В случае, с которым столкнулись наши эксперты, целью атаки были банки в Восточной Европе. Однако потенциально этот метод может применяться против любой крупной цели. Чем больше компания, тем легче спрятать вредоносное устройство. Особенно сложно расследовать инцидент в том случае, если у жертвы множество офисов по всему миру.

Что за устройства?

В ходе расследования наши эксперты выявили три типа устройств. Неизвестно, применялись ли они одной группировкой или несколькими, но принцип во всех трех случаях использовался один.

  • Недорогой ноутбук или нетбук. Топовые характеристики злоумышленникам не нужны, поэтому покупается б/у машина на какой-нибудь барахолке. В него втыкается 3G-модем и устанавливается программа дистанционного управления. После этого достаточно спрятать устройство так, чтобы оно не бросалось в глаза, и подключить его к сети и электропитанию.
  • Raspberry Pi — миниатюрный компьютер, который питается через USB. Это недорогое и незаметное устройство легко приобрести или самостоятельно спаять, а спрятать в офисе — гораздо легче, чем ноутбук. Для питания его можно воткнуть хоть в компьютер, где его не сразу обнаружат среди прочих проводов, хоть в USB-порт телевизора.
  • Bash Bunny — устройство, которое позиционируется как инструмент пен-тестера и свободно продается на хакерских форумах. Ему не нужно отдельного подключения к корпоративной сети, оно работает через USB-порт компьютера. С одной стороны, оно выглядит как флешка, а значит, более незаметно, но с другой — технология контроля подключаемых устройств среагирует на него в момент подключения, так что этот вариант атаки менее универсален.

Как подключают?

Даже в компаниях, где к вопросам безопасности относятся серьезно, подключить такое устройство возможно. Несмотря на жесткую пропускную систему, на территорию офисов часто допускаются курьеры, соискатели работы, представители клиентов или партнеров. Выдать себя за кого-то из них может любой.

Дополнительный риск возникает из-за того, что Ethernet-розетки в офисах зачастую устанавливают где попало — в коридорах, переговорных комнатах, в общих холлах. Иногда еще до поста охраны. Если внимательно осмотреть помещение среднестатистического бизнес-центра, нередко можно найти места, куда можно спрятать небольшое устройство, подключив его к сети и электроснабжению.

Что делать?

У этой атаки есть как минимум одно сомнительное место — злоумышленник должен физически присутствовать на территории офиса жертвы. Поэтому начать следует с ограничения доступа к сети из мест, в которые потенциально могут зайти посторонние.

  • Следует отключить неиспользуемые Ethernet-розетки в местах общего доступа.
  • Если такой возможности нет, имеет смысл выделить их в изолированный сегмент сети.
  • В идеале Ethernet-розетки должны быть в зоне видимости камер безопасности (по крайней мере, это здорово поможет в расследовании инцидента).
  • Используйте защитные решения с надежными технологиями контроля подключаемых устройств (например, Kaspersky Endpoint Security для бизнеса).
  • Подумайте над необходимостью применения специализированных решений для регистрации аномалий и подозрительной активности в сети, таких как Kaspersky Anti Targeted Attack Platform, Kaspersky Endpoint Security for business

Источник: Лаборатория Касперского

07.12.2018

 

Смотреть все новости
Kaspersky Anti-Virus
Купить Kaspersky Anti-Virus
 
Kaspersky Internet Security
Купить Kaspersky Internet Security
 
Kaspersky Total Security
Купить Kaspersky Total Security
Купить Kaspersky Endpoint Security для бизнеса Стандартный
  
Купить Kaspersky Endpoint Security для бизнеса Расширенный
  
Купить Kaspersky Small Office Security
Оцените магазин на Яндекс.Маркете

DarkVishnya: атака через подброшенные устройства
в Kaspersky-Security.ru компании Киасофт

Интернет магазин антивирусных продуктов «Лаборатории Касперского», где можно быстро оформить заказ онлайн и купить и продлить антивирусные решения Лаборатории Касперского для дома и бизнеса, моментально получить ключ активации.

DarkVishnya: атака через подброшенные устройства - получить всю необходимую информацию, обсудить вопросы покупки и оплаты антивирусов можно по телефону 8 (800) 350-59-04 или по адресу: info@kaspersky-security.ru