As tentativas dos cibercriminosos de ameaçar os sistemas de TI estão em constante evolução. Por exemplo, entre as técnicas que vimos este ano, vale a pena notar a
introdução de códigos maliciosos em milhares de sites de comércio eletrônico para roubar dados pessoais e usar o LinkedIn para instalar spyware. Além disso, essas técnicas funcionam: os danos dos crimes cibernéticos em 2018 chegaram a
US $ 45 bilhões .
Pesquisadores do X-Force Red da IBM desenvolveram uma verificação de conceito (PoC) que pode ser o próximo passo na evolução do crime cibernético. É chamado de
navio de guerra e combina métodos técnicos com outros métodos mais tradicionais.
Como funciona o transporte de guerra
O Warshipping usa um computador acessível, barato e de baixo consumo de energia para executar remotamente ataques muito próximos da vítima, independentemente da localização dos próprios criminosos cibernéticos. Para fazer isso, por correio normal na forma de um pacote, um pequeno dispositivo contendo um modem com conexão 3G é enviado ao escritório da vítima. Ter um modem significa que o dispositivo pode ser controlado remotamente.
Graças ao chip sem fio embutido, o dispositivo procura redes próximas para rastrear seus pacotes de rede. Charles Henderson, chefe do X-Force Red da IBM, explica: “Assim que vemos nosso“ navio de guerra ”chegar à porta da frente da vítima, sala de correspondência ou local de descarga de correspondência, já somos capazes de controlar remotamente o sistema e executar ferramentas para passividade. ou um ataque ativo pela rede sem fio da vítima ".
Ataque de guerra
Assim que o chamado "navio de guerra" estiver fisicamente dentro do escritório da vítima, o dispositivo começa a ouvir pacotes de dados pela rede sem fio, que podem ser usados para penetrar na rede. Ele também escuta os processos de autorização do usuário para se conectar à rede Wi-Fi da vítima e envia esses dados ao cibercriminoso por meio de comunicação celular, para que ele possa descriptografar essas informações e obter a senha Wi-Fi da vítima.
Usando essa conexão sem fio, um invasor agora pode se mover pela rede da vítima, procurando sistemas vulneráveis, dados disponíveis e roubando informações confidenciais ou senhas de usuários.
Uma ameaça com grande potencial
Segundo Henderson, esse ataque pode muito bem se tornar uma ameaça interna oculta e eficaz: é barato e não é difícil de implementar, e também pode passar despercebido pela vítima. Além disso, um invasor pode organizar essa ameaça de longe, estando a uma distância considerável. Em várias empresas em que ocorre um grande volume de correspondências e encomendas diariamente, é fácil o suficiente para não perceber ou não prestar atenção a uma pequena parcela.
Um dos aspectos que torna o envio de guerra extremamente perigoso é que ele pode ignorar a proteção de e-mail que a vítima possui para evitar malware e outros ataques que se espalham pelos anexos.
Proteção corporativa contra essa ameaça
Dado que, neste caso, estamos falando de um vetor de ataque físico sobre o qual não há controle, pode parecer que não há nada que possa impedir essa ameaça. Esse é um daqueles casos em que o cuidado ao trabalhar com email e a desconfiança dos anexos nos emails não funcionarão. No entanto, existem soluções que podem parar essa ameaça.
As equipes de gerenciamento vêm do próprio navio de guerra. E isso significa que esse processo é externo ao sistema de TI da organização.
As soluções de segurança da informação interrompem automaticamente quaisquer processos desconhecidos no sistema de TI. Conectar-se ao servidor de controle de um invasor usando esse "navio de guerra" é um processo que não é conhecido pela
solução de segurança; portanto, esse processo será bloqueado e o sistema permanecerá seguro.
No momento, o envio de guerra é apenas uma verificação de conceito (PoC) e não é usado em ataques reais. No entanto, o trabalho constante dos cibercriminosos significa que, em um futuro próximo, esse método poderá se tornar realidade.