一群黑客利用现成设备、开源软件加一只背包,成功入侵了美国内政部网络。

只花了200美元,黑客们就使用自制工具成功入侵了Interior公司的Wi-Fi网络,在未经授权的前提下接入美国内政部的内部系统。好在他们只是内政部监察长派出的白帽黑客,否则后果将不堪设想。

今年年初,美国内政部IT审计团队在内部组织了多项渗透测试,旨在利用各类易于获取的黑客工具证明该机构无线网络的脆弱性。

该团队在本周三发布的审计报告中写道,“我们发现该部门并没有部署及运营安全的无线网络基础设施。具体来讲,该部门的无线网线政策未能针对各下辖部门建立起无线网络清单、实施强有力的用户身份验证措施,甚至未能针对众所周知的攻击手段对网络安全性进行定期测试或必要的监控与检测。”

为了证明其网络体系的脆弱性,此次渗透测试完全由内政部内部IT审计团队完成。团队成员开发出一款能够放进背包及钱包的便携式测试装置,可以通过智能手机进行操作。准备工作完成后,审计人员们在内部办公室附近的公共区域(例如周边的公园长椅处)或在目标建筑内的有限区域处,开始了此次网络渗透行动。

审计团队使用的套件成本不足200美元,且其中搭载的仅仅是广泛开放的开源软件。

团队在报告中写道,“攻击行动非常成功,我们在入侵该部门设施时,没有受到任何安保人员及IT安全人员的阻挠。”他们还提到,此次攻击还成功拦截并解密了多个办公室的网络流量

入侵测试表明,内政部的内部Wi-Fi安全性较差,同时也暴露出不少更深层次的网络弹性问题。

该团队在两个入侵行动地点都在“正常无线网络的范围之外”,并再次接入了内政部的内部网络。黑客们甚至窃取到了IT员工的登录凭证、获得了内部服务台系统的访问权限,并查看到该名员工的所有开放工单信息。

报告指出,“我们还发现,部分部门及办公室并没有采取应有的无限网络入侵防范举措。由于没有设置网络分段等保护机制,我们得以顺利识别出哪些资产中包含敏感数据、或者与关键任务系统的运营直接相关。”

该报告还概述了攻击者用于访问内部网络的两种具体方式:一种是暴力破解预共享密钥(类似于登录家庭网络时使用的独立ID加密码);另一种是通过伪造热点钓鱼(evil twins)窃取用户凭证,进而接入内部网络。

在前一种情况下,团队使用自制的黑客工具窃听无线网络流量,并等待内部员工通过登录或以其他方式传递编码凭证。对于质量低下的密码,攻击一方几乎可以即时破解加密流量。报告指出,如果加密机制过于复杂,“可以将凭证传输至性能更强的远程系统,借此利用更多算力实现编码破解。”

审计人员们写道,“内政部没有设置任何用于阻止攻击者从公共区域被动收集无线网络流量,或者尝试恢复预共享密钥的防控措施。”

第二种情况则是窃取各网络用户分配到的唯一凭证。审计团队在其中使用了“evil twins”技术,即创建一套新网络,为接入点设定与实际网络完全相同的名称,并借此记录下用户在尝试登录时输入的凭证信息。

该团队指出,“evil twins攻击利用的是无线网络中的一项根本弱点:客户端设备无法区分具有相同广播名称的两个无线网络接入点。”

当然,攻击一方还可以使用其他较为基础的网络命令与社会工程学进一步提高入侵范围。

报告提到,“为了加快攻击速度,攻击方可以将命令广播到各客户端设备与接入点,迫使其重新进行身份验证。这可能导致客户端设备接入邪恶双生网络,并尝试传输编码凭证。”

面对evil twins技术(成功入侵了内政部中的四个内部网络),理想的应对措施是使用身份验证方法以阻止不具备适当数字证书的代理设备接入网络

报告指出,此次实施的各项测试已经不限于“推测性或者学术性范畴。”

审计人员们写道,“我们使用了真实攻击者在恶意行动中所使用的通信窃听与未授权接入工具、技术与方法。事实上,我们使用的大部分攻击方法,都与2018年美国司法部在诉讼文件中提到的俄罗斯情报机关攻击活动完全一致。”

此次调查结果令人震惊,“某部门为了进行安全问题分析,竟需要将其无线基础设施关闭长达三周。”另一处办公室则强制要求只能通过无线网络访问公共互联网,导致员工在访问内部应用程序及资源之前被迫挂上VPN。

审计团队将相关责任完全归咎于内政部首席信息官办公室,表示防护不力的错误必须由保障整个部门IT安全与合规性的CIO办公室承担。

具体来讲,审计团队提出OCIO在以下三个方面的决策失误:

  • 未要求定期测试网络安全性。

  • 未能保持完整的无线网络列表。

  • 发布的网络安全指南自相矛盾、内容陈旧且不够全面。

审计人员们写道,“缺少网络边界控制与主动监控等无线网络安全运营措施,内政部极易因恶意攻击而蒙受高价值IT资产损失,导致部门的运营能力遭到削弱,甚至泄露高度敏感的内部数据。”

审计团队最终为内政部OCIO提出14条整改建议。经过对其中一项建议的反复讨论之后,IT部门已经决定全盘接受。

内政部发言人在一份声明中表示,“首席信息官办公室非常重视我们的资产与系统保护工作。过去两年以来,我们采取多种控制措施,旨在实现整个部门的无线网络标准化,进而实现统一的安全保障级别。而且在本报告正式发布之前,我们已经认真审查了监察长办公室提出的所有整改建议。”

原文链接:

https://www.nextgov.com/cybersecurity/2020/09/interior-ig-team-used-evil-twins-and-200-tech-hack-department-wi-fi-networks/168521/

转载微信:security_xc

翻译供稿:security4

投稿邮箱:anquanneican@163.com

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。