Serial Mr. Robot od czasu swojej premiery w zeszłym roku wzbudza spore zainteresowanie nie tylko wśród osób pracujących w branży bezpieczeństwa IT. Porusza on bowiem najbardziej aktualne tematy cyberświata i szerzej ukazuje świat hakerów. Eksperci bezpieczeństwa z firmy ESET przyjrzeli się pracy cyberprzestępców przedstawionej w jednym z odcinków serialu i podjęli próbę oceny, czy naprawdę tak wygląda cyberrzeczywistość.
(UWAGA! Tekst zawiera spoilery)
Inteligentny dom i potencjalne zagrożenia
W pierwszym odcinku drugiego sezonu serialu widz jest świadkiem problemów z rozwiązaniami zastosowanymi w inteligentnym domu jednej z dyrektorek korporacji Evil Corp. Alarm, oświetlenie, termostat czy regulacja temperatury wody w prysznicu – na skutek ataku, wszystkie systemy działały niepoprawnie i w związku z tym bohaterka zmuszona była do opuszczenia swojego domu.
Ta sytuacja stworzyła idealną okazję dla członków grupy hakerskiej fsociety, prawdopodobnie odpowiedzialnej za ten atak, do zajęcia domu i stworzenia z niego ich tymczasowej siedziby.
Analiza ekspertów bezpieczeństwa z firmy ESET: w odcinku nie zostało wyjaśnione, jak atak został przeprowadzony, jednak biorąc pod uwagę dotychczasową wiedzę związaną z bezpieczeństwem urządzeń Internetu rzeczy (IoT) i inteligentnych domów eksperci mają kilka przypuszczeń, jak on mógł wyglądać.
W serialu bohaterka kontroluje systemy zastosowane w jej domu przy pomocy tabletu. Eksperci zakładają, że atak mógł zostać przeprowadzony za pośrednictwem sieci Wi-Fi, łączącej wszystkie urządzenia i systemy z tabletem. Kiedy haker uzyskał dostęp do sieci Wi-Fi i zidentyfikował urządzenia Internetu rzeczy i systemy zainstalowane w domu, mógł nimi sterować, a nawet szukać w nich luk bezpieczeństwa i wykorzystać je.
Teoria ta wydaje się wysoce prawdopodobna, zwłaszcza biorąc pod uwagę fakt, że do tej pory znaleziono już luki bezpieczeństwa w interaktywnych urządzeniach czy zabawkach.
Ransomware wchodzi do gry
Mr. Robot dotyka aktualnych tematów związanych z cyberprzestępczością, dlatego też temat zagrożeń szyfrujących musiał się pojawić. W pierwszym odcinku drugiego sezonu serialu Darlene – członkini grupy fsociety – przygotowuje atak z wykorzystaniem zagrożenia szyfrującego Cryptowall.
Aby zainfekować komputer ransomwarem, Darlene używa zestawu narzędzi, który zawarty jest w wersji systemu Linux przeznaczonej do łamania zabezpieczeń i testów penetracyjnych – Kali Linux. W ten sposób przygotowuje szkodliwe pliki – jeden z zagrożeniem ransomware oraz drugi o nazwie autorun.inf. Następnie umieszcza je na nośniku pamięci USB i przekazuje go innej osobie, której celem będzie zainfekowanie systemu firmy.
Po włożeniu zainfekowanego pendrive’a do systemu atakowanej firmy, ransomware automatycznie szyfruje wszystkie urządzenia w sieci firmowej. W serialu atak okazał się sukcesem. W jego efekcie, pracownik zaatakowanego banku podczas obsługi klienta korzystając z komputera widzi zaszyfrowany ekran – przypominający ten po infekcji systemu zagrożeniem Cryptowall.
Na ekranie wyświetlony zostaje komunikat informujący, że pliki zostały zaszyfrowane, a za ich odblokowanie firma musi zapłacić okup. Żądanie wynosi 5,9 miliona dolarów, a pieniądze muszą zostać dostarczone przez odpowiednią osobę w określonym miejscu i czasie.
Analiza ekspertów bezpieczeństwa z firmy ESET: eksperci uważają, że jest to dość niecodzienne, że Darlene zdecydowała się na infekcję systemu przy użyciu pliku autorun.inf zapisanego na pendrive’ie.
Zwłaszcza dlatego, że nowe wersje systemu Windows mają domyślnie wyłączoną funkcję automatycznego uruchamiania zawartości nośnika. Może jednak bohaterka zdecydowała się na taki krok, ponieważ znała doskonale infrastrukturę Evil Corp i była pewna, że uda jej się w ten sposób zainfekować system banku.
W prawdziwym świecie tego typu ransomware rozprzestrzenia się zwykle za pośrednictwem poczty elektronicznej lub ukrywa się w postaci zainfekowanej zawartości stron WWW. Prócz nietypowego sposobu infekcji, niecodzienna jest także kwota okupu i sposób jego dostarczenia. Zwykle cyberprzestępcy żądają mniejszych kwot i oczekują zapłaty w bitcoinach. Takie posunięcie ze strony grupy fsociety było jednak uzasadnione.
Jak? Tego śledzący serial dowiedzieli się w kolejnym odcinku.
