22:34
9/3/2016

Prawdziwi piraci wydają się przerażającymi ludźmi (ta opaska na oku i przeklinająca papuga!), którzy korzystają tylko z siłowych rozwiązań. Okazuje się jednak, że ich ataki na statki są skuteczniejsze, jeśli zostaną poprzedzone atakiem na systemy informatyczne firm spedycyjnych.

Do abordażu!

Przypadek wykorzystywania włamań komputerowych przez piratów morskich został opisany w raporcie Data Breach Digest wydanym przez Verizon. Na marginesie, raport w całości jest ciekawy, ale historia o zinformatyzowanych piratach wydaje się być szczególnie urzekająca…

Fot. Ken Ratcliff @ Flickr, lic. CC

Fot. Ken Ratcliff @ Flickr, lic. CC

W ostatnich latach firmy organizujące transport morski mają regularne problemy z piratami. Wszyscy słyszeliśmy o somalijskich piratach, a niektórzy zapewne mieli przyjemność oglądać film Captain Phillips. Jeden z przewoźników zwrócił uwagę na zmianę taktyki piratów. Piraci nie porywali już załogi dla okupu, a po wtargnięciu na kontenerowiec po prostu na chwilę trzymali ją pod kluczem. W tym czasie pobuszowali w przewożonych kontenerach. Plądrowanie było jednak błyskawiczne — ginęło niewiele, ale za to bardzo konkretnych i cennych rzeczy. Tak jakby piraci dokładnie wiedzieli, czego mogą się spodziewać na statku. Co ciekawe, piraci poza bronią mieli ze sobą …skanery kodów kreskowych i to przy ich pomocy namierzali interesujące ich kontenery.

To nie papuga wygadała ich plan…

Kiedy sprawie przyjrzała się grupa RISK Verizona, ustalono że atakowana firma spedycyjna, której statki były atakowane dysponowała przestarzałym, autorskim CMS-em. System wykorzystywano do zarządzania dokumentami takimi jak konosamenty (czyli morskie listy przewozowe).

Błędy w skrypcie do uploadu plików będącym częścią CMS-a pozwoliły piratom na wgranie na serwer webshella. Przy jego pomocy piraci uzyskali swobodny dostęp do danych. W ten sposób namierzali transporty z cennym ładunkiem i wiedzieli jakie statki atakować oraz jak oznaczony będzie konkretny kontener.

Ponieważ użyty webshell nie wspierał SSL-a, z przechwyconego ruchu sieciowego udało się ustalić dokładne komendy wydawane przez piratów. Najwyraźniej nie byli oni zaawansowani lub “hackowali” pod wpływem sporej ilości rumu, gdyż wiele komend zawierało literówki, a sam sposób ich wydawania sugerował, że piraci nie mieli wielkiego pojęcia o atakach komputerowych. Nie byli w stanie eskalować swoich uprawnień ani przejąć innych serwerów przewoźnika, nawet pomimo pozyskania haseł. Na dodatek przy zestawianiu revese shella, zapomnieli skorzystać z proxy co ujawniło ich prawdziwy adres IP.

Cała ta historia dowodzi 3 rzeczy. Po pierwsze bezpieczeństwo IT ma wpływ na bezpieczeństwo “fizyczne”. Po drugie nie można liczyć na to, że nikogo nie zainteresują rutynowe dokumenty przechowywane na serwerach tej lub innej firmy. Jeśli te dokumenty dotyczą czegokolwiek cennego, należy ich pilnować tak jak coś cennego. Po trzecie, autorskie CMS-y powinny przechodzić regularne testy bezpieczeństwa. Bo jak widać, nawet grupy, które — jak nam się wydaje — potrafią tylko pływać na łódce i wymachiwać bronią, sięgają w dzisiejszych czasach po pomoc “informatyków” lub pieczołowicie studiują książki “hacking for dummies” z wymiernym skutkiem. Ahoj!

Przeczytaj także:

14 komentarzy

Dodaj komentarz
  1. Chyba pierwszy wasz artykuł który nie ma potwierdzenia w rzeczywistośći.

    • Jedynie w jednym z najbardziej rzetelnych raportów branżowych, który opisuje faktyczne przypadki.

    • Nie wiem, nigdy nie widziałem na oczy pirata, ale się wypowiem. Jesteś geniuszem.

  2. Pracuję w tej branży i już kilka lat temu słyszałem o piratach napadających na statki i okradających konkretne kontenery z cennym ładunkiem (wtedy chodziło o piractwo w Cieśninie Malaka). Nowością są skanery kodów i namierzenie źródła wycieku. Już dawno podejrzewano że piraci korzystają z usług hakerów. Najwyraźniej dopiero udało się to potwierdzić. Poza tym bardzo możliwe że korzystają także z bardziej tradycyjnych metod (np. informatorzy i łapówki w portach załadunku/wyładunku) do ustalania które statki czy kontenery warto okraść.

  3. na filmiku nie mówią po angielsku tylko po włosku.

  4. @Konieczny: [skasowane] Nie bawmy się w rasistów i proszę nie kasować tego posta tylko dlatego, bo jestem biały.

    • Nie skasowaliśmy dlatego, że jesteś biały, ale dlatego, że ten komentarz po prosty był nie na temat ;)

  5. Tak mi się skojarzyło https://www.youtube.com/watch?v=IBH4g_ua5es ;-)

  6. Z tego co można wywnioskować z raportu chodzi o statki typu ro-ro i ładunki przewożone w skrzyniach. Na kontenerach nie stosuje się kodów kreskowych, ponadto kontenery przewożone są w slotach, jeden na drugim, gęsto upakowane obok siebie – dostęp do ładunku jest bardzo trudny. Otwarcie jest możliwe, ale wyładunek z niego już mało prawdopodobny. W ładowniach/pokładach statków ro-ro ładunek jest łatwo dostępny. Firma – prawdopodobnie duży operator logistyczny – miał wystawiony dla klientów system do obsługi konosamentów. Piraci korzystali z faktu, że na konosamencie jest nazwa statku i data wypłynięcia; na marinetraffic sprawdzali, gdzie znajduje się statek i zaczajali się w odpowiednim miejscu na ofiarę. Obecnie operatorzy statków radzą sobie w ten sposób, że fałszowane są opisy na AIS lub jawnie opisywane jako “guarded”, “armed”, “security onboard” itp. – to studzi zapędy piratów.

  7. Druga możliwość, to atak na system operatora zezwoleń importowych lub winiet/karnetów tzw. ECTN (Electronic Cargo Tracking Note) np: Congo besc.ccc.cg, Antaser, Phoenix Europe itp…, które są obowiązkowe w wielu krajach afrykańskich. Importer/exporter musi opłacić taką winietę per cargo lub kontener. Podaje dokładnie odbiorcę/dane ładunku, wartość faktury itp. Korzystam z kilku takich systemów i wiele z nich nie ma szyfrowania, kontroli siły hasła itp. Pewnego razu w google znalazłem zawartość jednego z systemów – komedia….nie dziwię, się piraci dostali się do takiego systemu stawianego chyba przez gimbazę na lekcji informatyki

  8. Ale oni tam mają zajęcia, raz napadną na statek, a raz na… https://www.youtube.com/watch?v=7uoZ5HRSUpQ

  9. A kiedy opiszecie atak sieć wifi za pomocą połączenia ze zbyt wygadaną żarówką?

  10. @5: https://www.youtube.com/watch?v=pMhfbLRoGEw :)

  11. Czy firma zwinęła interes? Strona be2.pl nie działa.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.