赞 现成无人机通过改装后,在一个非常不可能的地方携带Wi-Fi套件入侵公司内部网络。过去的十年中,在美国和欧洲的Black Hat 2016等安全会议上,已经探讨了使用面向消费级无人机进行黑客攻击的想法。DIY技术爱好者Naomi Wu在2017年展示了一个名为Screaming Fist的相关项目。2013年,安全研究员Samy Kamkar展示了他的SkyJack无人机,它使用Raspberry Pi通过Wi-Fi接管其他无人机。
现在这种攻击实际上正在发生,安全研究员格雷格·利纳雷斯 (Greg Linares) 最近讲述了一起事件:
今年夏天,美国东海岸一家专注于私人投资的金融公司遭遇黑客事件,金融公司在内部Atlassian Confluence页面上发现源自公司网络内部的异常活动。公司安全团队也做出回应,发现MAC地址被绑定用于部分访问公司Wi-Fi网络的用户,竟在数英里外的家中登录。也就是说,用户在场外处于活动状态,但建筑物内的Wi-Fi范围内有人试图无线使用该用户的MAC地址以获得授权访问权限,这是一个危险信号。然后,该团队采取措施追踪Wi-Fi信号,并使用Fluke系统识别Wi-Fi设备。
这将团队带到了屋顶,在那里发现了被改装过的DJI Matrice 600和DJI Phantom无人机。Phantom无人机状况良好,并配备了经过改进的Wi-Fi Pineapple设备,用于Wi-Fi网络渗透测试。 Matrice 600无人机携带一个装有Raspberry Pi、几块电池、GPD迷你笔记本电脑、4G调制解调器和另一个Wi-Fi设备的箱子。它降落在建筑物的供暖和通风系统附近,似乎已损坏但仍可操作。
在调查过程中,他们确定DJI Phantom无人机最初是在几天前用于拦截工作人员的登录凭证和Wi-Fi,这些数据被硬编码到另一台无人机的部署工具中配置。无人机上的工具被用来瞄准公司的内部Confluence页面,以便使用存储在那里的凭据访问其他内部设备。
格雷格说,这次攻击的成功有限,是他在过去两年中看到的涉及无人机的第三次网络攻击。攻击者专门针对第三方和内部使用的受限访问网络,由于公司最近的变化(例如重组/品牌重塑、新建筑、新建筑租赁、新网络设置或组合),网络变得并不安全。
这就是为什么这个临时网络遗憾地限制了登录访问(登录凭据 + MAC 安全)的原因,攻击者是为了访问内部IT Confluence服务器,该服务器包含用于访问其他资源和存储IT的凭据数据。
格雷格在2011年参与了一个无人机项目,以测试网络攻击能力,当时,功率、承载重量和范围是限制因素。而在2015年,无人机技术已经取得了长足的进步。现在到2022年,我们看到无人机在功率、航程和能力方面取得了惊人的进步,尤其是中国产无人机的性价比极其出色。
(DroneShield无人机监视系统)
虽然攻击者的身份尚未披露,但格雷格认为入侵者进行了数周的内部侦察以及充分的背景调查。或许一些金融公司和敏感机构应该在屋顶部署无人机监测系统,或者得不时检查屋顶是否有停放或悬停中的无人机。
来源:theregister.com