Vállalati hálózatok feltörése Raspberry Pi Zeróval



A Kaspersky Lab kutatói megvizsgálták a nyilvánosan elérhető hardver- és szoftvereszközöket a titkosított jelszavak feltöréséhez. A vizsgálat eredményeként kiderült, hogy mindössze 5460 forintért és alapvető programozási ismeretekkel néhány órányi kódolással egy hatékony hackerprogramot készíthetünk. A kísérlet során egy Raspberry Pi Zero alapú konfigurált USB-t használtak malware (kártékony szoftver) nélkül, amellyel sikeresen behatoltak egy vállalati rendszerbe és onnan óránként 50 felhasználói jelszóhash-t gyűjtöttek be.

Androbit a Facebookon


A kutatás egy igaz történettel kezdődött: egy másik vizsgálat során, amiben a Kaspersky Lab szakértői részt vettek, egy takarító cég alkalmazottja (insider – bennfentes) pendrive-ot használt arra, hogy megfertőzze a cég munkaállomását egy kártékony programmal. A történet megismerése után a Kaspersky Lab szakemberei kíváncsiak voltak arra, hogy milyen egyéb eszközöket használhatnak a bennfentesek a célzott támadások esetén. Lehetséges-e egyáltalán veszélyeztetni a hálózatot a rosszindulatú programok (malware) nélkül?



Vettek egy Raspberry Pi Zero mikroszámítógépet, Ethernet adapterként konfigurálták, valamint további konfigurációs változtatásokat hajtottak végre az operációs rendszeren, és néhány nyilvánosan elérhető programot telepítettek az adatgyűjtésért és annak feldolgozásáért. Végül a kutatók egy szervert állítottak fel a lehallgatott adatok begyűjtésére. Ezután az eszközt csatlakoztatták a kiszemelt géphez, és ilyen módon elkezdte automatikusan feltölteni a szervert az ellopott adatokkal.

Ez azért történt ilyen egyszerűen, mert a megtámadott számítógép operációs rendszere a csatlakoztatott Raspberry Pi eszközt vezetékes LAN-adapterként azonosította, és automatikusan magasabb prioritást adományozott neki, mint más elérhető hálózatoknak. Ami még ennél is fontosabb, hogy hozzáférést biztosított a hálózati adatcseréhez. A kísérleti hálózat egy valódi vállalati hálózat szimulációja volt. Ennek eredményeképpen a kutatók képesek voltak a megtámadott számítógép és alkalmazásai által küldött hitelesített adatok összegyűjtésére, ahogy megpróbálták hitelesíteni a szervereket. Ráadásul a kutatók képesek voltak arra is, hogy ezeket az adatokat a hálózat egy másik munkaállomásáról gyűjtsék be.



Mivel a támadások sajátosságai lehetővé tették, hogy a letöltött adatokat valós időben küldjék a hálózaton keresztül, ezért minél hosszabb ideig csatlakoztatták a készüléket a PC-hez, annál több adatot tudtak összegyűjteni és egy távoli szerverre továbbítani. Fél óra alatt a kutatók közel 30 jelszóhash-t gyűjtöttek be, amit a megtámadott hálózaton keresztül továbbítottak, így könnyen elképzelhető, hogy mennyi adat gyűjthető össze egy nap alatt.

Az adatlekérés módszerének lehetséges támadási területe nagy: a kísérleti hacker eszköz sikeresen behatolt mind a Windows, mind a Mac operációs rendszer alapú számítógépeken. A kutatók azonban nem tudták végrehajtani a támadást Linux-alapú eszközökön.

Ennek a kísérletnek két fontos tanulsága van. Először is az a tény, hogy valójában nem kellett fejleszteni egy szoftvert, hanem szabadon elérhető eszközöket használtunk az interneten. Másodszor pedig aggódunk, mennyire könnyű elkészíteni a koncepciót egy hacker eszközre. Ez azt jelenti, hogy potenciálisan bárki, aki ismeri az internetet és rendelkezik alapvető programozási ismeretekkel, képes végrehajtani ezt a kísérletet. Könnyű megjósolni, mi történhet, ha mindez rosszindulatú szándékkal történik. Éppen ezért döntöttünk úgy, hogy muszáj felhívnunk a figyelmet erre a problémára. A felhasználóknak és a vállalati ügyintézőknek fel kell készülniük ilyen típusú támadásra” – mondta Sergey Lurye, a Kaspersky Lab kutatásának társszerzője.

A számítógépek vagy a hálózatok megóvásáért a Kaspersky Lab biztonsági szakemberei az alábbiakat javasolják:


Egyedi felhasználók számára:






Rendszergazdák számára:






A vállalati hálózaton található adatok összegyűjtésén kívül a kísérleti eszköz a megtámadott számítógépeken található böngészőkből származó cookie-k gyűjtésére is használható.

Bővebb információt a kísérletről és további javaslatokat a vállalatok és az otthoni felhasználók védelméért az ilyen típusú támadások során a Securelist oldalon talál.

Forrás: Securelist