Un’azienda finanziaria della East Coast, specializzata in investimenti, è stata coinvolta recentemente in un incidente informatico sui generis: l’attacco hacker è arrivato dal cielo utilizzando ben due droni per esfiltrare le credenziali di accesso alla rete.
A raccontare l’incidente è stato un consulente di sicurezza che è stato coinvolto marginalmente nella questione.
A quanto si apprende, un giorno, nel reparto IT dell’azienda, un alert ha informato che un computer stava navigando la pagina di Atlassian Confluence, il software di team collaboration della società, sia dalla rete locale sia una location esterna, precisamente da diverse miglia dall’azienda. L’indirizzo di rete apparteneva al computer di un dipendente in smart working, che stava lavorando da casa. L’anomalia era l’accesso con un dispositivo apparentemente dotato dello stesso MAC Address da una rete interna, e proprio per questo motivo è stato utilizzato un Fluke Networks AirCheck, un analizzatore di rete wireless, per capire dove fosse quel computer.
La ricerca ha portato il reparto IT sul tetto, dove sono stati trovati due droni: un DJI Matrice 600 e un DJI Phantom, entrambi modificati.
Il DJI Phantom si presentava in buone condizioni ed era stato dotato di una versione modificata di PineApple, un dispositivo utilizzato per effettuare i penetration test delle reti wireless.
Analizzando i log del drone, si è scoperto che questo dispositivo era arrivato sul tetto nei giorni precedenti ed era stato utilizzato per rilevare le credenziali di accesso alla rete.
A finire nella trappola il computer di un dipendente, quello che stava lavorando da casa senza rendersi conto che le sue credenziali erano state clonate.
Il DJI Phantom, dopo aver acquisito le informazioni, ha iniziato a trasmetterle in formato criptato e queste sono state ricevute dal DJI Matrice 600, che sembra essere arrivato sul tetto in un secondo momento.
Questo drone, molto più grande, è stato equipaggiato con diverse batterie, un Raspberry e un microcomputer al quale sono state collegate una scheda ethernet e una scheda 4G. Il Matrice è atterrato vicino all’impianto di riscaldamento e ventilazione e questo ha danneggiato in parte il drone, anche se i suoi dati sono rimasti accessibili.
L’obiettivo dell’intrusione era quella di guadagnare il pieno accesso alla pagina di Confluence dell’azienda, per la precisione quella del reparto IT contenente le informazioni su tutte le altre macchine con le relative credenziali e le procedure di accesso. Una rete che aveva solo alcuni filtri sull’accesso, come quello sul MAC Address che ha fatto scattare l’allarme.
L’attacco fortunatamente non ha creato grossi danni.