本周早些时候,The Register 报道了今夏了一起无人机袭击事件。然而受害的私人投资公司却对此保持沉默,仅同意根据保密协议与安全人员展开探讨。据说当时网络管理员发现公司的 Confluence 页面在局域网内表现出了奇怪的行为,而 Confluence 则是 Atlassian 开发的基于 Web 的远程写作软件。
报道称,安保人员在大楼顶层发现了两架无人机 —— 其一是经过改装的 DJI Matrice 600,其二是经过改装的 DJI Phantom —— 前者炸机但仍在运行,而后者实现了安全着陆。
后续调查发现,Matrice 600 无人机被加装了渗透套件,包含一台树莓派、GPD 迷你笔记本电脑、4G 调制解调器、Wi-Fi 设备、以及几块电池。
此外 Phantom 无人机则打包了 Hak5 开发的一套名为 Wi-Fi Pineapple 的网络渗透测试设备。
与该公司 IT 团队沟通的安全研究员 Greg Linares 表示,攻击者在数日前使用 Phantom 无人机 + Wi-Fi 渗透装置拦截了员工的凭据。
Say hello to Confluence Confluence - Overview | Atlassian(via)
接着攻击者将窃取的信息编码到了 Matrice 无人机携带的穿透设备中,利用员工 MAC 地址和访问凭据、从屋顶侵入了公司的 Cnnfluence 页面。
可知其浏览了 Confluence 日志,试图窃取更多登录信息、以连接到公司内网的其它设备。庆幸的是,攻击者仅取得了有限的进展。
当管理员注意到受感染员工设备的 MAC 地址在本地和数英里外的远程地点登录时,立即意识到公司网络遭受了攻击。
在对 Wi-Fi 信号实施隔离后,安全团队带着福禄克测试仪追踪并定位了屋顶上的渗透设备。
Greg Linares 表示,这是他在近两年里看到的第三次基于无人机的网络攻击。
不过大家也无需惊慌,毕竟新案例得逞的前提,是受害企业启用了一套未妥善部署安全措施的临时网络。
而且就算是这套本就脆弱的网络,攻击者也蛰伏了数周时间来实施‘内部侦查’。
综上所述,该威胁行为者距离目标地点的物理距离肯定不太远,手头有足够预算、且知悉受害企业的物理安全限制。
(举报)