本周早些時候,The Register 報道了今夏了一起無人機襲擊事件。然而受害的私人投資公司卻對此保持沉默,僅同意根據保密協議與安全人員展開探討。據說當時網絡管理員發現公司的 Confluence 頁面在局域網內表現出了奇怪的行為,而 Confluence 則是 Atlassian 開發的基於 Web 的遠程寫作軟件。
(圖自:Confluence | Atlassian)
報道稱,安保人員在大樓頂層發現了兩架無人機 —— 其一是經過改裝的 DJI Matrice 600,其二是經過改裝的 DJI Phantom —— 前者炸機但仍在運行,而後者實現了安全着陸。
後續調查發現,Matrice 600 無人機被加裝了滲透套件,包含一台樹莓派、GPD 迷你筆記本電腦、4G 調製解調器、Wi-Fi 設備、以及幾塊電池。
此外 Phantom 無人機則打包了 Hak5 開發的一套名為 Wi-Fi Pineapple 的網絡滲透測試設備。
與該公司 IT 團隊溝通的安全研究員 Greg Linares 表示,攻擊者在數日前使用 Phantom 無人機 + Wi-Fi 滲透裝置攔截了員工的憑據。
Say hello to Confluence Confluence – Overview | Atlassian(via)
接着攻擊者將竊取的信息編碼到了 Matrice 無人機攜帶的穿透設備中,利用員工 MAC 地址和訪問憑據、從屋頂侵入了公司的 Cnnfluence 頁面。
可知其瀏覽了 Confluence 日誌,試圖竊取更多登錄信息、以連接到公司內網的其它設備。慶幸的是,攻擊者僅取得了有限的進展。
當管理員注意到受感染員工設備的 MAC 地址在本地和數英裡外的遠程地點登錄時,立即意識到公司網絡遭受了攻擊。
在對 Wi-Fi 信號實施隔離后,安全團隊帶着福祿克測試儀追蹤並定位了屋頂上的滲透設備。
Greg Linares 表示,這是他在近兩年裡看到的第三次基於無人機的網絡攻擊。
不過大家也無需驚慌,畢竟新案例得逞的前提,是受害企業啟用了一套未妥善部署安全措施的臨時網絡。
而且就算是這套本就脆弱的網絡,攻擊者也蟄伏了數周時間來實施‘內部偵查’。
綜上所述,該威脅行為者距離目標地點的物理距離肯定不太遠,手頭有足夠預算、且知悉受害企業的物理安全限制。