Potrebbe essere parte del copione dell’ultimo Mission Impossible… e invece è la dura – e per certi versi shockante – realtà. Un attacco hacker “venuto dal cielo” avrebbe sottratto i dati di un’azienda.
Quando la realtà supera la fantasia, è proprio il caso di dirlo. Al centro un attacco hacker ai danni di una finanziaria, tale East Coast. L’azienda, specializzata in finanziamenti, è stata coinvolta in un incidente informatico dai retroscena hollywoodiani. Gli hacker, colpevoli della sottrazione di informazioni, avrebbero agito sfruttando un drone. A raccontare la storia un consulente di sicurezza, coinvolto nell’accaduto direttamente.
Di punto in bianco il reparto IT dell’azienda East Coast ha visto accendersi il proverbiale semaforo rosso. Un computer, di punto in bianco, ha iniziato a navigare sulla pagina di Atlassian Confluence, un software di team collaboration dell’azienda. Il tutto è avvenuto sia in rete locale, sia da una location esterna, distante diversi chilometri dal luogo dell’accaduto. Un attacco da remoto? Neanche per scherzo. L’indirizzo di rete apparteneva ad un computer di un dipendente, in quel momento in smart working, impegnato da casa.
This will be a thread discussing a real world breach involving a drone delivered exploit system that occurred this summer
Some details I am not able to discuss, however for the blue teams & red teams out there I hope this provides a good measure of capability.
🧵🚁 🎮🖥️🦠
— Greg Linares (Laughing Mantis) (@Laughing_Mantis) October 10, 2022
Quel che non tornava al reparto IT dell’azienda era il MAC Address, lo stesso di una rete interna. A quel punto è stato utilizzato un Fluke Networks AirCheck, per capire da dove venisse quel computer. Dopo diversi minuti di ricerca, l’indagine ha fatto una scoperta angosciante: il segnale proveniva dal tetto dell’azienda. Precisamente da due droni, un DJI Matrice 600 ed un DJI Phantom, entrambi modificati per questo genere di attacchi.
Il dispositivo DJI Phantom, in buone condizioni, era arrivato sui tetti dell’azienda nei giorni precedenti, ed utilizzato per rilevare le credenziali di accesso alla rete aziendale. Il computer del dipendente in smart work è stato così sfruttato, sua insaputa, per clonare le credenziali, dopodiché il DJI Phantom ha iniziato a trasmettere ciò che ha acquisito – in formato criptato – al secondo drone DJI Matrice 600. Quest’ultimo, più grande e corazzato, era stato dotato di diverse batterie ed un Raspberry, connesso ad internet tramite una scheda ethernet e il 4G.
L’obiettivo dell’attacco era di guadagnare il pieno accesso alla pagine dell’azienda, prendendo così in ostaggio tutte le informazioni delle macchine, con le relative credenziali e procedure di accesso.