Взломать компанию через простой пароль
Михаил Жмайло
Ведущий специалист CICADA8 по тестированию на проникновение
Какой у вас пароль? Содержит ли он буквы в разном регистре? Цифры? Специальные символы?
Не сомневаюсь, подписчик нашего телеграм-канала уже трижды кивнул!
Пароли играют очень важную роль в нашей жизни. Они используются везде: зайти в аккаунт в VK, подключиться к корпоративной сети через VPN, сказать секретную фразу на входе в закрытый бар...
Удивительно, но существуют пароли, о которых вы порой даже и не подозреваете. Эти данные устанавливаются не вами, а производителем, в момент создания программного обеспечения. Так называемые стандартные учетные данные.
Давайте вспомним пару историй, как большие компании взламывали без использования мудреных эксплойтов, сложных уязвимостей и незабываемых фишинговых атак. Хакеру достаточно было применить admin:admin, и все двери становились открытыми.
Общая информация
Еще в далеком 2018 году, согласно Verizon, причиной утечек данных компании в 81% процентах становилось использование слабых паролей. Слабые пароли включают в себя и стандартные учетные данные. В нашем прекрасном настоящем времени процент, конечно, упал — фишинг набрал популярность, компании осознали риски, производители стали предлагать установить пароль при первом включении устройства.
Конечно, полностью проблема не исчезла. Мы до сих пор на пентестах встречаем использование стандартных учетных данных. Ох, где они только не встречаются: панель управления камерой, роутер, SIEM, строительный кран....
Дрон не улетел, а утек
В том же 2018 году группа исследователей кибербезопасности Recorded Future обнаружила, что на одном из хакерских форумов появилось объявление о продаже документов, связанных с дроном MQ-9 Reaper. Это вот такая летающая штука длиной в 11 метров, дальностью полета в 1900 километров и ценой в пару десятков миллионов долларов.
К слову, цена вопроса была абсолютно несерьезной — около 200$. Украсть секретные документы было не так и сложно. Хакер вооружился поисковой системой Shodan, обнаружил роутер Netgear, нашел пароль, и вуаля! Никакой разведки и шпионов с секретной службой не нужно — данные на ладони.
Превращаем солнечный ветер в космическую пыль
Чуть позже, в год всемирной пандемии, случилась одна из самых крупнейших атак. Взломаны оказались более 30 000 организаций. Такого ошеломительного эффекта получилось достичь, атаковав цепочку поставок программного обеспечения от компании SolarWinds. Подробности взлома не раскрываются, но исследователь Vinoth Kumar обнаружил в коде продукта пароль solarwinds123.
Он лаконично отметил: «This could have been done by any attacker, easily».
Colonial Pipeline
2021 год вновь не обошелся без громких инцидентов. Думаю, все помнят историю с атакой на Colonial Pipeline. В ходе расследования было обнаружено, что для получения доступа внутрь систем хакерам было достаточно украсть всего лишь один пароль. CEO пришлось оправдываться перед сенатом, убеждая, что это была сложная кодовая фраза, чертовски безопасная и вообще они тут не при чем. Правда или нет — решать вам ☺
Подглядываем в камеры
В том же 2021 году произошел чуть менее известный, впрочем, не менее интересный, взлом. Хакеры получили доступ к 150 000 камерам внутри больниц, тюрем, полицейских участков, школ и прочей критической инфраструктуры.
Взлом получил название «Verkada Hack» — в честь названии компании, которая предоставляла уязвимые устройства.
Думаю, вы понимаете, получить права администратора было не сложно. Атакующие обнаружили учетные данные в открытом виде на просторах всемирной паутины.
Как говорится, мелочь, но приятно ☺
Оставляем город без воды
В 2023 году хакеры, которых связывают с Иранскими APT, осуществили успешную атаку на службу водоснабжения США. О такой инфраструктуре часто забывают, ее не защищают, на ней не стоит современных средств мониторинга, а киберугрозы со стороны злоумышленников лишь растут.
К счастью, хакеры благородно не осуществили перекрытие воды, а лишь оставили обои с надписью: «You have been hacked, down with Israel. Every equipment ‘made in Israel’ is CyberAv3ngers legal target.»
А пароль был 1111.
У меня есть XXX. Где искать пароль?
Существуют целые списки стандартных учетных данных. Вот некоторые самые полезные ресурсы: