В середине декабря пассажирский паром, принадлежащий Mediterranean Shipping Company, на несколько часов был задержан во французском порту, как сообщал Bloomberg. Причина: подозрение, что российские киберпреступники пытались взломать сеть судна с помощью Raspberry Pi. Устройство было подключено к мобильному модему, который должен был обеспечить удаленный доступ к внутренней компьютерной сети парома и внешним соединениям.

Хорошая новость: попытка атаки была остановлена благодаря надежным мерам безопасности на борту. Согласно сообщению Bloomberg, офисные и операционные сети были разделены, а удаленный доступ к критически важным системам управления судна был отключен. Это предотвратило горизонтальное перемещение злоумышленников по сети и было решающим для предотвращения возможных сценариев саботажа или даже угона.

Так зачем же эта статья? Аналитики считают, что половина всех компаний оказалась бы под угрозой из-за аналогичной атаки, поскольку физическая безопасность во многих местах по-прежнему не получает должного внимания.

Корпоративные средства контроля, которые оказываются бесполезными

Руководителям по информационной безопасности (CISO) и лицам, принимающим решения в области безопасности, следует тщательно изучить, насколько хорошо защищены соответствующие здания — офисы, филиалы или производственные объекты — от возможных физических атак. Аналитики и специалисты по безопасности видят здесь огромный потенциал для улучшения. Например, Санчит Вир Гогия, главный аналитик Greyhound Research, отмечает: «Большинство программ безопасности компаний по-прежнему ориентированы на неправильный тип злоумышленника. Они разработаны для людей, которые совершают взлом, а не для тех, кто просто входит через парадную дверь».

История о почти взломанном пароме — явный сигнал к тому, что необходимо срочно что-то менять, считает аналитик: «Raspberry Pi с мобильным модемом — это не просто умный гаджет. Он также предоставляет возможность создать новый периметр внутри вашего здания».

Злоумышленникам больше не нужно прилагать усилий для преодоления брандмауэров или VPN, они просто приносят свое собственное интернет-соединение: «Это должно держать CISO в напряжении, потому что это означает, что многие установленные механизмы контроля потенциально оказываются бесполезными, поскольку они сосредоточены на неправильных областях. Если трафик уходит через мобильную связь, то лучший шлюз мониторинга ничем не поможет».

Фред Шагнон, директор по исследованиям Info-Tech Research Group, разделяет опасения Гогии: «В большинстве офисов десятки активных портов Ethernet в вестибюлях, конференц-залах и коридорах. Их следует по умолчанию административно отключать на уровне коммутатора. Порт должен быть активирован только тогда, когда определенный авторизованный MAC-адрес был проверен через аутентификацию 802.1X», — рекомендует эксперт. По словам Шагнона, современные злоумышленники используют MAC-спуфинг, чтобы заставить Raspberry Pi выглядеть как легитимный VoIP-телефон или принтер. Поэтому он рекомендует CISO инвестировать в инструменты или продвинутые NAC, обеспечивающие фингерпринтинг на физическом уровне: «Эти инструменты анализируют электрические и временные характеристики оборудования, чтобы определить, является ли принтер действительно принтером, а не просто «имплантатом» на базе Linux».

Шагнон также настоятельно рекомендует лицам, принимающим решения в области безопасности, широко использовать защищенные от несанкционированного доступа блокираторы портов: «В рамках мер безопасности нельзя упускать из виду дополнительные кабели, неавторизованные USB-хабы или небольшие неопределимые коробки, не соответствующие инвентарю», — предупреждает эксперт.

Обнаружен Raspberry Pi?

Если вы обнаружили такие устройства в ходе своих контрольных мероприятий, в первую очередь следует проявить осторожность. Хотя рекомендуется изолировать устройство и провести криминалистическое исследование, следует действовать с осторожностью. По крайней мере, так советует Флавио Вилланустре, CISO LexisNexis Risk Solutions Group: «Простое отключение таких устройств от сети может привести к потере важной криминалистической информации».

Не так уж сложно оснастить устройство батареей или суперконденсатором, которые обеспечат его самоуничтожение при отключении от сети или другой манипуляции. Кроме того, существует риск, что устройства подключены к другим устройствам, которые могут вызвать вредоносные действия — в крайнем случае, даже взрыв.

Кавех Ранджибар, генеральный директор Whisper Security, имеет еще один полезный совет для CISO с проблемами физической безопасности: «С помощью интеллектуальной инфраструктуры вы часто можете идентифицировать злоумышленников по местоположению используемого командно-контрольного сервера. Таким образом, еще до получения доступа к оборудованию можно определить, являются ли они скрипт-кидди или хакерами, спонсируемыми государством».

Как отмечает Ранджибар, устройства такого типа могут раскрыть много полезной информации, как только они отправят «домой» украденные данные: «Устройство вроде Raspberry Pi, используемое в злонамеренных целях, не является невидимым даже с мобильным модемом. Оно должно подключаться к центральному серверу для получения команд или эксфильтрации данных. Это создает инфраструктурный отпечаток: новый IP-адрес, DNS-разрешение или соединение с определенным ASN», — объясняет эксперт по безопасности.

Он добавляет: «CISO нуждаются в непрерывном мониторинге внешней инфраструктуры. Возможно, вы не сможете поймать человека, который разместил устройство. Но вы должны позаботиться о том, чтобы немедленно обнаружить устройство, как только оно подключится к сети». (fm)