大家都知道別亂插來路不明的 USB 到電腦上,深怕一不小心攬毒,請來不請自來的惡意程式。如今駭客不靠單純運氣,而是要主動出擊,像是好萊屋電影中常見裝扮成進出商業大樓的送貨員或是面試者,伺機在機敏設備上插入入侵的硬體。
防毒軟體公司卡巴斯基日前公布他們的調查結果 DarkVishnya 入侵事件,發現在 2017-2018 之間,有大量目標公司的機器上,被插入不明裝置連到公司內部網路。
報告中指出,駭客鎖定公司的總部辦公室,或者是區域辦公室的所在地。一旦人員潛入之後會用便宜的筆記型電腦或小筆電,樹莓派,或者是 Bash Bunny 這類裝有入侵工具的 USB 攻擊平台。在公司內部網路中,這些侵入的實體硬體偽裝為不名的電腦,外接的 Flash,或是裝成鍵盤。被植入的實體裝置有自己內建的數據機,或是用 USB 連接的 GPRS、3G、LTE 數據機,等待遠端的指揮中心的命令。
卡巴斯基的報告說,直接安裝實體入侵硬體裝置的案例,多在東歐一帶發現,至少有八間銀行受害。
卡巴斯基的 Nikolay Pankov 說:「即便是相當注重資安的公司來說,要植入實體的裝置並非不可能。送貨員、面試者或是客戶代表還是合作夥伴就能輕易進入辦公室裡,裝扮成上述角色是隨時能做到的。」
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!