Как дроны DJI шпионили за финансовой фирмой в США

[Artifact]

Модифицированные устройства на крыше здания пытались взломать сеть компании.

Исследователь кибербезопасности Грег Линарес недавно рассказал об инциденте, который произошел летом в неназванной финансовой компании США, специализирующейся на частных инвестициях.
По словам Линареса, фирма обнаружила необычную активность на своей внутренней странице Atlassian Confluence, которая исходила из сети компании. Служба безопасности обнаружила, что пользователь, чей MAC-адрес использовался для частичного доступа к Wi-Fi сети компании, также вошел в IT-систему другого здания, который находился за несколько миль от офиса компании.
Другими словами, пользователь был активен за пределами офиса, а кто-то в радиусе действия Wi-Fi здания пытался удаленно использовать MAC-адрес этого пользователя. Затем команда отследила Wi-Fi сигнал и использовала устройство Fluke Networks для идентификации Wi-Fi устройства.
Это привело команду на крышу здания, где были обнаружены «модифицированный дрон DJI Matrice 600» и «модифицированный DJI Phantom».

• К дрону DJI Phantom было прикреплено модифицированное устройство Wi-Fi Pineapple, которое использовалось для тестирования проникновения в сеть.

• А к DJI Matrice 600 был прикреплен кейс, в котором находились Raspberry Pi, несколько аккумуляторов, мини-ноутбук GPD, 4G-модем и еще одно устройство Wi-Fi. Он приземлился рядом с системой отопления и вентиляции здания.

В ходе расследования было установлено, что дрон DJI Phantom первоначально использовался за несколько дней до перехвата учетных данных и Wi-Fi одного из сотрудников. Эти данные позже были жестко запрограммированы в инструменты, которые были развернуты вместе с DJI Matrice 600.
Злоумышленники специально атаковали незащищенную сеть с ограниченным доступом, используемую как третьей стороной, так и внутри компании. Временная сеть имела ограниченный доступ для входа в систему (учетные данные + безопасность MAC). Киберпреступники использовали атаку для доступа к внутреннему серверу, который содержал учетные данные для доступа к другим ресурсам.