本周早些時候,TheRegister報道今夏一起無人機襲擊事件。然而受害的私人投資公司卻對此保持沉默,僅同意根據保密協議與安全人員展開探討。據說當時網絡管理員發現公司的Confluence頁面在局域網內表現出奇怪的行為,而Confluence則是Atlassian開發的基於Web的遠程寫作軟件。
(圖自:Confluence | Atlassian)
報道稱,安保人員在大樓頂層發現兩架無人機 —— 其一是經過改裝的 DJI Matrice 600,其二是經過改裝的 DJI Phantom —— 前者炸機但仍在運行,而後者實現安全著陸。
後續調查發現,Matrice 600 無人機被加裝滲透套件,包含一臺樹莓派、GPD 迷你筆記本電腦、4G 調制解調器、Wi-Fi 設備、以及幾塊電池。
此外 Phantom 無人機則打包 Hak5 開發的一套名為 Wi-Fi Pineapple 的網絡滲透測試設備。
與該公司 IT 團隊溝通的安全研究員 Greg Linares 表示,攻擊者在數日前使用 Phantom 無人機 + Wi-Fi 滲透裝置攔截員工的憑據。
Say hello to Confluence Confluence - Overview | Atlassian(via)
接著攻擊者將竊取的信息編碼到 Matrice 無人機攜帶的穿透設備中,利用員工 MAC 地址和訪問憑據、從屋頂侵入公司的 Cnnfluence 頁面。
可知其瀏覽 Confluence 日志,試圖竊取更多登錄信息、以連接到公司內網的其它設備。慶幸的是,攻擊者僅取得有限的進展。
當管理員註意到受感染員工設備的 MAC 地址在本地和數英裡外的遠程地點登錄時,立即意識到公司網絡遭受攻擊。
在對 Wi-Fi 信號實施隔離後,安全團隊帶著福祿克測試儀追蹤並定位屋頂上的滲透設備。
Greg Linares 表示,這是他在近兩年裡看到的第三次基於無人機的網絡攻擊。
不過大傢也無需驚慌,畢竟新案例得逞的前提,是受害企業啟用一套未妥善部署安全措施的臨時網絡。
而且就算是這套本就脆弱的網絡,攻擊者也蟄伏數周時間來實施‘內部偵查’。
綜上所述,該威脅行為者距離目標地點的物理距離肯定不太遠,手頭有足夠預算、且知悉受害企業的物理安全限制。