Hlavní navigace

Když vám blondýna naklonuje kartu aneb Jak fungují útoky na české banky a firmy

Autor: Jan Sedlák
Jan Sedlák

Vypadá to jako klišé ze špionážního filmu, ale je to skutečnost. Jak vypadají simulace kybernetických útoků a jak pracují lidé, kteří tyto testy provádějí?

Doba čtení: 8 minut

Sdílet

U centrály jedné z tuzemských bank se pohybuje pěkná blonďatá dáma. Předstírá, že ztratila vstupní bezkontaktní kartu a dává se do hovorů s procházejícími zaměstnanci. Jednoho z nich poprosí, zda by jí nemohl otevřít lahev s vodou, protože na to údajně nemá sílu. Džentlmen tak učiní a blondýna se ho za odměnu s úsměvem na tváři letmo dotkne na hrudi. Nejde o koketování, jejím cílem je něco trochu jiného.

Dotyčný zaměstnanec banky má totiž na hrudi onu vstupní kartu. Blondýna má zase na ruce, kterou se hrudi dotkla, připevněné speciální zařízení. To dokáže na krátkou vzdálenost simulovat RFID čtečku, a tím získat údaje z přístupové karty a tu pak naklonovat. Zařízení je propojené s malým počítačem Raspberry Pi upevněným na zádech. V Raspberry je pak zapojený Wi-Fi modul, jehož signál dosahuje do přilehlé kavárny.

V ní sedí dva normálně vypadající muži, kteří si povídají o zcela běžných věcech. Jeden z nich má otevřený notebook a v době, kdy se blondýna dotkla hrudi dotyčného muže, ve svém stroji vidí kopii požadované vstupní karty. Ta pak umožní vstup do banky dalšímu kolegovi.

„Blondýna, šarm a speciální zařízení, to je nejjednodušší způsob,“ usmívají se tito tzv. etičtí hackeři při rozhovoru pro Lupu. Jsou součástí desetičlenného týmu, který se postupně zformoval v rámci české technologické společnosti Unicorn. Jde o Unicorn RedTeam, který provádí simulace cílených kybernetických útoků na firmy.

Žádné únosy

Princip červených týmů je v testování kybernetické bezpečnosti běžný. Tyto skupiny se snaží útočit na sítě a systémy zákazníků, kteří si je pro tyto účely najmou, a odhalují chyby a díry v zabezpečení. Řada testů se zaměřuje na samotnou kybernetickou stránku věci, a ne vždy na aktivity v reálném prostředí. Penetrační testeři také často své postupy veřejně nekomentují.

Podívejte se na některé hardwarové nástroje, které RedTeam používá:

„My jsme ale chtěli dělat něco více nad rámec těchto testů, a zformovali jsme tak tým, kde máme zastoupeny techniky, lidi přes sociální inženýrství, odborníky na hardware a podobně,“ popisuje dvojice. „Naše služby pak prodáváme primárně bankám a snažíme se dostat do jejich systémů. Typicky máme zakázáno unášet děti zaměstnanců, rozbíjet okna a zámky či cíleně útočit na členy představenstva. Jinak je to ale na nás,“ dodávají.

Práce takové skupiny etických hackerů se děje za běžného provozu dané instituce, která neví, kdy, kdo a jak na ni bude útočit. RedTeam typicky začíná s podrobným průzkumem a hledá všechny možné informace, které lze z běžných zdrojů zjistit. Na sociálních sítích hledá podrobnosti o zaměstnancích, projíždí Shodan (databáze připojených zařízení do internetu), již dostupné údaje na darknetu, IP adresy a na nich běžící služby, řeší enumeraci subdomén a tak dále.

RedTeam pro tyto účely využívá běžně dostupné nástroje, ale také si některé sám připravuje. Například jde o aplikaci využívající strojové učení, která dokáže sloučit profily uživatelů na sociálních sítích v případě, že na nich používají jiná jména. Etičtí hackeři mají rovněž vlastní databázi, která slučuje několik rozsáhlých databází uniklých hesel a dalších osobních údajů. Celkově jde asi o jeden TB dat.

Wi-Fi Pineapple
Autor: Jan Sedlák

Wi-Fi Pineapple

„Díky ochotě lidí sdílet na sociálních sítích naprosto všechno si postupně sestavíme seznam například 300 lidí, u kterých máme do detailu vytvořené profily. Z toho pak můžeme odvozovat, čemu budou věřit a jaký phishingový útok na ně použít. Například víme, že daný zaměstnanec se v určité době na určitém místě ženil a můžeme mu například poslat e-mail fingující speciální nabídku daného hotelu,“ popisuje dvojice z Unicornu.

„Nebo naopak známe člověka z interní komunikace a víme, že takový člověk bude posílat interní sdělení zaměstnancům, kterému budou ostatní pravděpodobně důvěřovat,“ dodávají etičtí hackeři. Takto mohou cíleně útočit na vybrané osoby. Zkoušet ale mohou i plošné metody.

Dobrovolné odevzdání hesel

Před Vánoci tak například dvěma stovkám zaměstnanců jedné banky přišel hromadný e-mail s výzvou, že mají kliknout na odkaz a ve webovém formuláři pak vyplnit své přihlašovací doménové údaje. E-mail byl odeslán jménem člověka z interní komunikace, jehož všichni znají. Mail sliboval, že každý dostane vánoční dárek.

Rubber Ducky
Autor: Jan Sedlák

Rubber Ducky

Ze dvou stovek obeslaných lidí jich 56 % skutečně přihlašovací údaje dobrovolně odevzdalo. „Plánovali jsme poslat navazující várku na dalších 300 lidí. Pak už by procento vyplněných údajů bylo ještě větší. Vedení banky, které o akci vědělo, nám ale napsalo, ať už toho radši necháme,“ popisuje RedTeam.

Na zmiňované podvodné stránce byl i kontakt na falešnou technickou podporu. Lidé na ni běžně psali a posílali screenshoty s tím, že jim něco nejde. Tímto způsobem by jim pak bylo možné dále jednoduše podstrkovat škodlivý malware.

Se získanými přihlašovacími údaji už se lze postupně dostat do systémů dané organizace a postupovat dále. Vedle cíleného sociálního inženýrství, které může mít i podobu telefonátů a dalších metod, se také testují dostupné systémy na získaných IP adresách. Hledají se zranitelnosti a díry. Unicorn k tomu používá vlastní softwarové nástroje, protože nad nimi chce mít kontrolu.

Přes noc v autě

Unicorn se běžně zaměřuje na centrály bank, nikoliv na pobočky. Ty mají svých problémů hodně a banky o nich ví. Existují třeba případy, kdy na malou pobočku přijde člověk ve vytahaném svetru a s nějakou cedulkou na krku řekne zaměstnanci, že mu jde opravit počítač. Dotyčná osoba ho k němu bez problémů pustí a útočník si tam může dělat, co chce.

Hardwarový keylogger
Autor: Jan Sedlák

Hardwarový keylogger

Proti očekávání se ale i na centrálu dá vymyslet spousta různých útoků. V úvodu zmiňovaný pravdivý příběh s blondýnou je jedna ukázka. RedTeam typicky vysedává hodiny a hodiny v autě před budovou banky a sleduje všemožné vzorce chování – jaký je denní rytmus, kam lidé chodí na obědy a tak dále. Vytváří si tak celkový obraz dění.

„Když sedíme v autě, v podstatě si nás nikdo nevšimne. A to ani v případě, že v něm jsme přes noc a máme zadýchaná skla,“ krčí rameny RedTeam. Jeho členové typicky mají v autě vybavení, jako je směrová Wi-Fi anténa, pomocí které se snaží dostávat do firemní bezdrátové sítě. Mapují i další rádiové technologie. „A když už se nás někdo přijde zeptat, co tam děláme, velice jednoduše se z toho vymluvíme.“

Také další metody připomínají klišé ze špionážních filmů. RedTeam si například pronajme hotelový pokoj, který je naproti budovy banky. Odsud (ale nejenom odsud) pak pomocí zrcadlovek s objektivem s 3000mm ohniskem dva dny pořizuje podrobné fotografie. „Na patnáct metrů se nám třeba podařilo vyfotit obrazovku notebooku s jasně viditelnými údaji.“

Klíč díky Instagramu

Z těchto fotografií už lze odvodit, jaké banka používá aplikace a jaký operační systém. Podle toho pak lze volit samotné kybernetické útoky. S mapováním budov pomáhají i veřejné záznamy. Etičtí hackeři běžně využívají StreetView a na internetu lze často najít podrobné plány budov (včetně rozvodů elektřiny, slaboproudu a spol., díky čemuž si lze udělat obrázek o rozložení technického vybavení) a interiéry jsou pak nafocené i na službách jako Foursquare.

Směrová Wi-Fi anténa na 2,4 GHz
Autor: Jan Sedlák

Směrová Wi-Fi anténa na 2,4 GHz

Klíče pak lze získat třeba i díky Instagramu. Některý ze zaměstnanců si například fotil kávu na pracovním stole a na několika fotkách se průběžně z různých úhlů objevily i jeho klíče. Z toho šlo vymodelovat trojrozměrný model a vytisknout ho na 3D tiskárně. „Lidé nám strašně pomáhají a jsme jim za to vděční,“ konstatují etičtí hackeři.

Získané přístupové karty či klíče a plány budov pak slouží k další fázi útoku. Jeden z kolegů v RedTeamu prostě do sídla banky vejde a díky získaným informacím ví, kudy a kam jít. Do počítačů pak může připojovat USB keylogger s Wi-Fi modulem. Někam nenápadně skryje Raspberry Pi, se kterým keylogger komunikuje a zasílá získané informace ven. Některé hardwarové nástroje, které RedTeam používá (Pineapple, DVB-T modul, Bash Bunny, Rubber Ducky a další), můžete vidět v přiložené galerii. Nakupovat je lze na obchodech jako Hak5 a další nástroje si pak Unicorn sestavuje sám.

Až k jádru bankovních systémů

Teoretické následky podobných útoků mohou být hrozivé. Unicornu se například v jedné z bank podařilo dostat ke kompletní správě virtualizační platformy, takže by bylo možné shodit internetové bankovnictví a další kritické služby. Bezpečnostní a další manažeři před zahájením testů často tvrdí, že prolomení jejich systémů není možné. Podle různých etických hackerů je to ale vždy spíš otázkou času.

Klonování přístupových karet
Autor: Jan Sedlák

Klonování přístupových karet

Cílem RedTeamu je simulovat reálné cílené kybernetické útoky, které se běžně dějí. Společnost Kaspersky Lab například koncem loňského roku popsala útok DarkVishnya prováděný pomocí levného notebooku, Raspberry Pi a Bash Bunny. Ten v podstatě odpovídal útoku, který zrovna prováděl i Unicorn. Šlo jen o shodu náhod.

Když už se RedTeam dostane tak daleko, že získá třeba přístup ke správě serverů, s akcí končí. „Když už máme prst na pověstném červeném tlačítku pro vypnutí banky, management si už velmi dobře umí představit, co by se po jeho stisknutí stalo,“ popisují útočníci.

Po skončení akce, která většinou trvá kolem tří měsíců, předávají rozsáhlý report. V něm jsou popsány realizované útoky, odhalené zranitelnosti, důkazy o jejich existenci a veškeré získané relevantní materiály. Každá odhalená zranitelnost má i doporučení k nápravě. Stejně tak klient v reportu i prezentaci získá doporučení, jak zvýšit úroveň zabezpečení a ubránit se podobnému útoku. Zákazníci díky tomu mohou své procesy a systémy lépe zabezpečit a připravit se na podobnou situaci.

Wt100_SEO

Řešit musí třeba i takové věci, jako fakt, že členové takzvaných modrých týmů, kteří mají různé útoky odrážet, prostě chodí do práce ve velké firmě a neuvědomují si, že pracovní doba hackera nekončí v pátek v 16 hodin. Útočníci to ví a nemají problém na banku útočit přes noc o víkendu.

„Cílem RedTeamu není vysmát se klientům nad jejich nedostatky – paradoxně asi nejtěžší práce je dát dohromady report a navrhnout vhodná opatření. Prezentovat takto technicky složité téma celému představenstvu také nepatří k jednoduchým úkolům,“ vysvětlují etičtí hackeři.