Изощренные способы взлома

В распоряжении хакеров — широкий набор инструментов и техник. Уязвимости появляются постоянно, а злоумышленники продолжают придумывать способы их эксплуатации и новые, более изощренные сценарии атак. О них мы поговорим в этом материале и рассмотрим не самые тривиальные, на наш взгляд, инциденты.

Некоторые приемы злоумышленников хорошо знакомы широкой аудитории: например, атаки социальной инженерии или фишинг. Но далеко не все слышали об атаках с помощью учетных записей-призраков.

В конце января компания Sophos расследовала масштабную атаку на корпоративные ресурсы с последующим заражением вымогателем Nemty. Эксперты Sophos выяснили, что вторжение произошло через учетную запись администратора с высокими привилегиями. Эта учетная запись принадлежала бывшему сотруднику, скончавшемуся за три месяца до инцидента.

Компания вместо того, чтобы отозвать доступ и закрыть учетную запись, решила оставить ее активной и открытой, потому что “были службы, для которых она использовалась” (с).

Фишинговые письма содержат ссылки на вредоносные сайты, замаскированные под безопасные. Там злоумышленники выманивают наши аутентификационные данные или данные банковских карт. “Да-да, знаем”, — скажут многие. А знаете ли вы о поддельных письмах, в которых вредоносный URL-адрес защищен азбукой Морзе?

В феврале стало известно о новом способе мошенничества — злоумышленники использовали азбуку Морзе для сокрытия вредоносного содержимого во вложениях электронной почты. Далее приведем описание атаки из источника.

Атака начиналась с электронного письма с вложением-счетом. Письмо содержало HTML-вложение, выглядящее как файл Excel с заголовком, похожим на счет компании, например, в формате «[название_компании] _счет_ [номер] ._ xlsx.hTML». При просмотре вложения в текстовом редакторе можно обнаружить код JavaScript, который сопоставляет буквы и цифры с азбукой Морзе. Например, буква «a» отображается в «.-», а буква «b» - в «-…». Такое кодирование помогает обойти спам-фильтры и защитные почтовые шлюзы.

Затем скрипт вызывает функцию decodeMorse() для декодирования строки кода Морзе в шестнадцатеричную строку. Строка далее декодируется в теги JavaScript, которые вставляются в HTML-страницу.

Когда жертва пытается открыть файл, появляется поддельная электронная таблица Excel, в которой указано, что время входа истекло, и предлагается ввести пароль еще раз. После того, как пользователь введет свой пароль, форма отправит пароль на удаленный сайт, где злоумышленники собирают учетные данные. Во многих случаях всплывающее окно авторизации содержит логотип компании жертвы, чтобы вызвать доверие.

Вы могли слышать историю о том, как в 2017 году хакеры заразили компьютерную сеть нефтехимического завода используя…кофемашину. Опасный вирус-вымогатель WannaCry попал в сеть компании через небезопасное подключение умной кофемашины к Wi-Fi.

Возможно, вы знаете и случай, когда холодильник помог хакерам реализовать MiTM-атаку и получить доступ к Gmail и Google аккаунту.

А в 2020-м году злоумышленники обкатали новый способ проникнуть в офисные и домашние сети — умные лампочки. Хакеры, используя определенные уязвимости в них, могут проникнуть в целевую IP-сеть для распространения программ-вымогателей или шпионского ПО.

Как происходит атака: владельцы лампочек могут дистанционно управлять освещением и калибровать цвет каждой лампочки через мобильное приложение.

Хакер обнаруживает лампочку и перехватывает управление, меняет цвет или яркость лампочки, чтобы обмануть пользователя, заставляя подумать, что лампочка неисправна.

Лампочка отображается как “недоступно” в приложении пользователя. Единственный способ перезагрузить умное устройство — удалить его из приложения, а затем повторно обнаружить и добавить в сеть. На этом этапе хакер уже внедрил в прошивку лампочки вредоносное ПО, используя уязвимость протокола передачи данных. Таким образом, пользователь добавляет обратно в свою сеть уже взломанную лампочку. Теперь контролируемая хакером лампа с обновленной прошивкой позволяет развить атаку в сети, распространить программу-вымогатель или шпионскую программу.

Больше о (не)безопасности умных устройств мы писали здесь.

• После того, как сотрудник покинул компанию (по любой причине), отзывайте права аккаунта, меняйте пароли от доступных ему ресурсов и отключайте служебные учетные записи в ключевых системах. Учетные записи-призраки могут быть особенно опасны, если злоумышленник применит брутфорс (метод перебора паролей) и скомпрометирует такую запись, ведь их обычно никто не контролирует. Для любой учетной записи-призрака, которой разрешено оставаться подключенной к корпоративным ресурсам, следует хотя бы отключить возможность удаленного подключения;

• Переход по ссылкам из случайных электронных писем — плохая идея. В случае сомнений перейдите непосредственно к источнику;

• Если вы приобрели умное устройство, не забывайте сменить заводской пароль. Следите за обновлениями ПО, а лучше настройте автоматическое обновление. Будьте внимательны с доступом к Интернету. Небезопасные сетевые подключения ставят под угрозу ваши данные и могут позволить злоумышленнику получить удаленный контроль над устройством.