November 13

Ливанский куш, взлом банка с последствиями

Эта статья про физическое проникновение в один из банков Ливана. Легальный проект, с неожиданной концовкой, который выполнял один из самых известных специалистов по физическому тестированию на проникновение Jason E. Street! Вся история — это набор фактов, смешанный с его личными комментариями с выступлений, интервью и общения в кулуарах. Поэтому подробности на личной совести эксперта, но я предлагаю ему поверить! Уж слишком громкая вышла история :)

Если вам интересно как проверяли физическую безопасность банка с помощью социальной инженерии, добро пожаловать под кат!

❯ А что за проекты такие?

Проекты по физическому проникновению на территорию заказчика — одни из самых веселых проектов! Автор этих строк, делал несколько подобных проектов, поэтому знает о чем говорит. Jason E. Street же очень известный эксперт индустрии, который провел в десятки раз больше подобных проектов.

Обычно основная цель — или получение доступа к компьютерам в офисе заказчика, или организовать удаленное подключение к сети организации. Для последнего чаще всего используют закамуфлированный мини-пк, например, Raspberry Pi с модемом и сим картой. Ограничения на подобных проектах, по крайней мере в РФ просты:

  1. Не показывать никаких документов. Ведь их подделка карается УК РФ, а показывать настоящие — противоречит сути мероприятия.
  2. Не оказывать сопротивления охране. Обычно с собой всегда есть договор на работы или авторизационное письмо (LOA). В письме/договоре указано, что человек проводит легальные работы и бить/сдавать в полицию его не нужно, а нужно связаться с руководством компании заказчика.

Именно в подобных условиях действовал и наш главный герой. Однако цель его была немного иная — не проверить возможность получить доступ, а научить сотрудников! Поэтому он рассчитывал быть пойманным к концу проекта.

❯ Первый проект

Ливан. Эта страна, которая сейчас не вылазит из сводок новостей, но на момент проведения проекта была гораздо более спокойной и тихой. Джейсон уже выполнял там один проект в банке и тогда он:

  • Выдал себя за сотрудника головного офиса и спокойно гулял по трем отделениям.
  • В одном отделении получил от менеджера его личный логин и пароль, а также вынес все документы, которые захотел.
  • В двух выполнил «вредоносный» код на машинах менеджеров и одного управляющего.
  • Из третьего и вовсе вынес компьютер!

Тогда хакера никто не остановил.

❯ Очень быстрое начало

Нынешний же проект проводили через пару лет в 2021 году в другом банке Бейрута, первое отделение которого было успешно взломано с самого утра. Но обиженный управляющий, который почувствовал себя дураком, решил взять противодействие в свои руки. Он лично обзвонил все крупные отделения банка и предупредил об ожидаемом визите «взломщика». Конечно же, это было не спортивно, но Джейсон решил, что поедет в небольшое отделение, в котором скорее всего его не ждут. И его действительно там не ждали!

В Бейруте надписи как правило на арабском и французском языках, которые хакер не знал. Поэтому на проект к нему был приставлен сопровождающий из местных, который и отлично говорил на трех языках, и показывал дорогу. К тому же именно этот сопровождающий должен был не дать арестовать хакера! Сопровождающий — живое доказательство легальности проекта. Но в тот день Джейсон очень торопился, потому что перед проектом выпил целую 1,5 литровую бутылку диетической пепси! Сопровождающий указал ему направление и сказал «Банк вон там в конце улицы, я приду через пару минут после тебя». По дороге Джейсон старательно искал туалет, но многие вывески он прочитать не мог, а знакомого значка WC нигде не увидел. В итоге на последней крупице силы воли забежал в офис банка в конце улицы и по указателям на второй этаж в туалет. После облегчения хакер осмотрел отделение сверху и спланировал свою показательную атаку.

Документы использовать нельзя, но поддельные письма? Бейджи? Можно! Это де юре не документы. Поэтому Джейсон достал свой фейковый бейджик «Майкрософт». Его цели были три:

  1. Выполнить любой код на машинах сотрудников и показать им это.
  2. Вынести компьютер из отделения.
  3. Если его задержат, проверить, поверят ли его поддельному «авторизационному письму» и дадут ли ему уйти.

Для первой задачи он использовал Rubber Duck — известный инструмент легальных хакеров, который выглядит как флешка, но выполняет код. Компьютер определяет эту ‭«флешку‭» как клавиатуру, которая начинает нажимать горячие клавиши и набирать команды. Именно так код выполняется. Да прям на виду у менеджера.

Все что делал код из Rubber Duck Джейсона — выводил надпись что ‭«Эй, этого не должно было случиться!‭». Джейсон показывал это менеджеру и переходил к следующему, хотя для фиксации успеха достаточно одного взломанного ПК.

Уже на третьем взломанном компьютере им стали интересоваться, спросили кто он и откуда. Джейсон повторил свою легенду, что он из Майкрософт, показал пальцем на бейдж. И объяснил, что здесь он проводит аудит из-за слияния компаний, и пока это не публичная информация. Показал на своем IPad поддельное письмо, чтобы вызвать большее доверие. Почему на планшете? Почему-то с экрана выглядит доверительнее, чем распечатанное. Письмо было составлено очень грамотно, от имени CFO банка, которая к тому же являлась и дочерью владельца банка! Куда уж респектабельнее? Но ему не поверили и попросили поговорить с управляющим. Где же промах?

В кабинете управляющего Джейсон перешел к цели №3 — побегу. Его задача с помощью этого поддельного письма на планшете убедить управляющего его отпустить. Он ожидал два успешных исхода:

1. Управляющий письму верит, и он проиграл.
2. Управляющий не верит, просит дополнительные документы. Тогда Джейсон предлагает принести их из машины и не возвращается в банк.

В теории может быть и один неудачный исход, Джейсону не верят и его не отпускают «за документами». Тогда за него вступается сопровождающий и все объясняет, а управляющего ждет похвала. Кстати, а где сопровождающий?

❯ Не та дверь

Четвертый исход Джейсон не мог даже предположить. Управляющий внимательно смотрит его документы и говорит грустным, но очень строгим голосом: «Все понятно, но это письмо для банка по соседству. Так что ты делал с нашими компьютерами?!».

Эти два банка используют одинаковые корпоративные цвета. Вывески Джейсон привык не смотреть, ведь они чаще всего не на английском. Ну и помните, он ОЧЕНЬ торопился, а в этом здании два банка расположенных через стенку. Джейсон просто зашел не в ту дверь, и он взломал банк на что не имел никакого разрешения! Что он мог ответить управляющему после такого? «Это прискорбно» Хакер был настолько ошарашен, что не придумал ничего лучше.

В комнате управляющего его усадили в кресло и вокруг него шесть человек очень активно и сердито говорили по арабски. В качестве оправдания Джейсон решил показать что он делал, что ничего плохого не произошло. Он подключил свой Rubber Duck к компьютеру управляющего, и на экране появилось привычное окно блокнота с надписью. Но это произвело не то впечатление, фактически он только что взломал еще один ПК, увеличил себе срок и лица окружающих стали еще мрачнее. Последним аргументом, который, казалось бы, они не услышали, было «Погуглите меня, я известен такими вещами!».

К этому моменту сопровождающий уже давно был в банке напротив, он сначала подумал, что Джейсон уже зашел в кабинет управляющего и все ему объясняет. Но время шло, его подопечный не появлялся и он решил спросить, не заходил ли он сюда. После отрицательного ответа, он начал искать Джейсона и нашел. Аргументы сопровождающего уже были услышаны, но и они не играли большой роли. Все что им могли предложить — проехать в головной офис банка, где разберутся, что в целом было лучше чем вызов полиции.

Спасло Джейсона то, что код на его Rubber Duck не был по настоящему вредоносным, и состава преступления тут не было. К тому же, к счастью, он не успел выполнить пункт №2 и не вынес компьютер из отделения!

Все его нарушения были:

  1. Проникновение на закрытую территорию.
  2. Ложь сотрудникам банка.

Джейсон повторно объяснил ситуацию начальнику охраны, подробно рассказал что он делал и почему у него это вышло, что не так делали сотрудники и отвечал на множество вопросов, стараясь быть как можно более милым.

После четырех часов проведенных в кабинете начальника охраны, руководители банков договорились разделить расходы между собой и уладить ситуацию. Из соображений безопасности сразу после ухода Джейсона все компьютеры менеджеров и управляющего по ошибке взломанного филиала были очищены. Все-таки банки — высококонкурентная среда. Но главное, что инспектировать еще и безопасность тюрем Ливана не пришлось.