Zdroj: incident.sk
V októbri sa rozbehla posledná štvrtá séria populárneho seriálu Mr. Robot a tak som sa rozhodol, že budem komentovať hackovanie v jednotlivých častiach. Ak chcete seriál pozerať zo Slovenska, tak sa dá kúpiť na Amazon Prime Video. POZOR! Spoilers! Ak ste ešte seriál nevideli, tak v nasledujúcom texte odhaľujeme niektoré časti deja. Ak ich nechcete vedieť dopredu, tak prestaňte čítať.
Časť č.9 – 409 Conflict
OPSEC, IMSI Catcher, Raspberry Pi
V deviatej časti začíname v izbe oproti miestu stretnutia Deus Group. Nečakane prichádza Phillip Price a Mr. Robot je nahnevaný, že jeho nečakaná návšteva by mohla odhaliť celú akciu. Má pravdu, lebo Phillipa Pricea mohol niekto sledovať. Ja by som zase rád vedel ako ich našiel, ale tak zase nebuďme prehnane logický a bezchybný :o). Ak naozaj Phillipovi povedali kde sú pred akciou, tak to je slabý OPSEC. Každý člen by mal vedieť len minimum informácií na vykonanie svojej úlohy.
Darlene vysvetľuje, že IMSI catcher je pripravený v blízkosti miesta stretnutia. Čo je IMSI catcher, a prečo musí byť blízko miesta stretnutia? IMSI je skratka pre international mobile subscriber identity a je to číslo, ktoré jednoznačne identifikuje každého používateľa mobilnej siete. IMSI catcher je veľmi jednoducho povedané falošná základňová stanica (BTS) pre mobilnú komunikáciu. Silové zložky a spravodajské služby ich už roky používajú na MitM (man in the middle) útok na komunikáciu mobilných telefónov. Jeden z najznámejších je StingRay od firmy Harris Corporation. Jeho používanie bolo dlho utajované, aby kriminálnici nevedeli aké jednoduché je odpočúvať ich komunikáciu. IMSI catcher musel byť umiestnený čo najbližšie k cieľom preto, aby ich mobil vyhodnotil signál ako najsilnejší a pripojil sa k IMSI catcher zariadeniu a nie k legitímnej BTS. Toto je reálny scenár.
Zaujímavé je to, že si vďaka technologickému pokroku a open softvéru môžete vytvoriť vlastný IMSI catcher. Dokonca presne taký, aký vidno v izbe na začiatku sekvencie. Postupne vidíme niečo čo sa podobá na bladeRF x40 s anténami, Raspberry Pi a pre nezávislosť od napájania externá USB baterka. Zariadenie bladeRF x40 je vlastne také pokročilejšie a kvalitnejšie SDR (Software Defined Radio). O SDR som písal v časti č.4 – 404 Not Found. Nezabudnite, že na prevádzku podobného zariadenia na licencovaných frekvenciách potrebujete aj na Slovensku licenciu. Ak sa hodláte hrať, tak sa ubezpečte, že sa na vaše zariadenie nebudú pripájať mobily, ktoré vám nepatria. Takisto musíte zabezpečiť, že nenarušíte prevádzku licencovaných mobilných sietí rušením ich komunikácie. Boli ste varovaní.
Obrázok č.1: bladeRF x40
Zdroj: nuand
Softvér sa spúšťa na Raspberry Pi a vzhľadom na nároky IMSI catcher softvéru odporúčam minimálne Raspberry Pi 3. Aktuálne si môžete kúpiť Raspberry Pi 4. Ak ste o Raspberry Pi ešte nepočuli, tak je to malý flexibilný počítač za pár eur, ktorý by ste si mali určite kúpiť pod stromček. Ľudia ho používajú na rôzne projekty ako riadenie robotov, VPN servery, media centrum a pod.
Obrázok č.2: Raspberry Pi 4
Zdroj: Raspberry
Mr. Robot a Darlene zisťujú, že stretnutie Deus Group sa presunulo inam. Darlene zahlási, že majú len jeden IMSI catcher a musia sa presunúť. Zase budem vŕtať do logiky príbehu. Na začiatku vidíme aktívny IMSI catcher v izbe a Darlene zároveň povie, že IMSI catcher je pripravený v blízkosti miesta stretnutia a má s ním kontakt. Tak to majú dva nie? :o)
Fyzická bezpečnosť, odpútanie pozornosti
Darlene sa presunie na nové miesto a vidíme peknú ukážku zabezpečenia fyzickej bezpečnosti. Budovy majú veľakrát dobre chránené hlavné vstupy, ale často sa zabúda na bočné vchody a východy, ktoré nezodpovední zamestnanci používajú na fajčiarske prestávky. V tomto prípade si to ochranka postrážila. Chválim.
Darlene potrebuje dostať členov Deus Group von, aby jej IMSI catcher (prvý či druhý? :o)) zachytil mobily členov. Na to využije osvedčenú taktiku. Vyrobí video fsociety, odhalí Deus Group a pozve verejnosť, aby vytvorili nekontrolovanú nespokojnú masu.
Phishing
Elliot je späť a spúšťa skript, ktorý odosiela falošnú urgentnú správu zamestnancom mobilného operátora a bude sa snažiť získať ich login do firemnej VPN. To je veľmi reálne až na to, že ich emaily zistil z SKS (Synchronizing Key Server). Pochybujem, že zamestnanci mobilného operátora majú všetci PGP kľúč na SKS. Druhý problém je, že len tí čo majú službu budú reagovať 25.12. na email. Je takisto otázne, koľkí sa nechajú oklamať phishingovou stránkou. Aj keď ten jeden sa vždy nájde.
Garážová brána, identifikácia mobilov
Darlene odchytáva komunikáciu medzi diaľkovým ovládaním a bránou, aby to neskôr mohla využiť na zablokovanie brány. Na svojom mobile je prihlásená do Raspberry Pi a SDR rádio je podľa príkazu tentoraz HackRF One. Koľko tých SDR rádií vlastne má :o)? Ak jedno (bladeRF x40) zostalo v izbe, druhé je na starom mieste stretnutia a nedá sa odobrať kvôli ochranke, tak toto je už tretie a necháva ho na mieste výjazdu áut. Darlene tvrdila, že majú len jedno. Klamárka :o). Inak odchytávanie a blokovanie signálu je reálne a veľa zariadení aj garážových brán sa dá triviálne obísť a otvoriť týmto spôsobom.
Následne Darlene získava zo spusteného IMSI catcher zariadenia mobily v okolí a ďalším skriptom sa snaží zistiť, či získané mobilné čísla po zahešovaní pomocou SHA-256 zodpovedajú hešom mobilných čísel priradených k bankovým účtom v banke. Ak správne rátam, tak to je už štvrtý SDR hardvér s IMSI catcher softvérom, ktorý musí bežať :o). Toto je celkom reálne, ale v meste ako New York sa aj na malom priestore dajú očakávať stovky mobilných zariadení na malom priestore.
SS7, bankové prevody
Elliot sa snaží dostať do najbližšej základňovej stanice mobilného operátora, čo sa mu po úspešnom phishingu podarí. Prihlási sa do VPN a následne spúšťa programy v tomto poradí ss7trace, tcpdump a wireshark. Prvý program nepoznám (asi najskôr neexistuje) a zvyšné nasledujú rýchlo po sebe, takže by nestihli zachytiť potrebné informácie. Záznam sieťovej komunikácie môže zaberať veľa priestoru. Podľa informácie na mobile Darlene mal .pcap len 16kB. Vo všeobecnosti sa dá urobiť to čo vidíme, ale určite nie tak ako to vidíme.
A sme vo finále veľkého hacku. A nič. Dá sa povedať, že technicky to bolo v zásade OK. Zistili mobilné čísla a namapovali ich na účty. S trochou šťastia sa im mohlo podariť odchytiť SMS správy s kódom pre dvojfaktorovú autentifikáciu cez IMSI catcher. Reálne však prevody peňazí nefungujú tak jednoducho. Podľa výpisu na obrazovke prevádzali 140.000.000.000 niečoho pre každý účet. Ecoinov? Dolárov? Banky majú ochranné mechanizmy a veľké sumy podliehajú dodatočnému schváleniu. Všetky prevody sa zdá išli podľa výpisov na obrazovke na ten istý cieľový účet. To by vyvolalo podozrenie v cieľovej banke. V minulej časti pracoval Elliot na skripte na prevod na kryptomenu a prepranie. Z toho sme nevideli nič. Nie je ľahké naraz nakúpiť obrovské množstvo kryptomeny, to by určite zakývalo s trhmi. Pripomína mi to trochu drogový ošiaľ na Floride v 80-tych rokoch, keď priekupníci s kokaínom nevedeli čo s toľkou hotovosťou. Kupovali pozemky a v noci zakopávali prebytočné doláre v čiernych vreciach do zeme. Niektorí mali v garáži stovky škatúľ od topánok a v nich doláre. Jednoducho a rýchlo upratať veľké množstvo peňazí je prakticky nemožné. Dá sa to možno pomaly a postupne na množstvo účtov cez veľa prostredníkov v priebehu dlhšieho času. Pranie špinavých peňazí chvíľu trvá. My ale pozeráme dramatický seriál, takže sa v tom už nebudem vŕtať :o).
To je všetko z 9.časti, desiata časť bude v USA vysielaná dnes a v pondelok by mala byť na Amazone. Sledujte náš blog, popis hackingu v 10.časti uverejním v dohľadnej dobe.
Obrázok: USA Network
