Wymiana routerów na nowe to codzienność w wielu dużych firmach. Działy IT często skupiają się na konfiguracji nowego sprzętu, mniej troszcząc się o los starego.
To poważny błąd: informacje pozostawione na tych urządzeniach, takie jak np. dane klientów, klucze uwierzytelniające czy listy aplikacji wystarczą do przeprowadzenia cyberataku. Jak się okazuje, ponad połowa routerów zakupionych przez specjalistów Eset na rynku wtórnym w ramach szybkiego testu, zawierała wrażliwe dane.
Kiedy zespół badawczy firmy Eset kupił kilka używanych routerów, aby skonfigurować środowisko testowe, jego członkowie ze zdziwieniem odkryli, że w wielu przypadkach wcześniej używane konfiguracje nie zostały usunięte. Takie dane na urządzeniach można wykorzystać do identyfikacji poprzednich właścicieli wraz ze szczegółami konfiguracji ich sieci. To odkrycie skłoniło firmę do przeprowadzenia szerszego testu: zakupu większej liczby używanych urządzeń i sprawdzenia, czy pozostawiono na nich ważne dane.
Po zbadaniu 16. routerów, odkryto szczegóły konfiguracji i dane na aż dziewięciu z nich. Co więcej:
• 2 z 9 urządzeń zawierały dane klientów
• 1/3 urządzeń ujawniała dane umożliwiające połączenia zewnętrzne z siecią firmową
• 4 z 9 urządzeń miały poświadczenia umożliwiające łączenie się z innymi sieciami jako zaufana strona
• 8 z 9 urządzeń miało widoczne szczegóły połączeń dla określonych aplikacji
• 8 z 9 urządzeń zawierało klucze uwierzytelniające
• Wszystkie urządzenia zawierały co najmniej jedno poświadczenie IPsec lub VPN albo zaszyfrowane jednostronnie hasło użytkownika root
• Wszystkie urządzenia posiadały wystarczające dane, aby wiarygodnie zidentyfikować byłego właściciela/operatora.
Jak podkreślają eksperci, te informacje – w tym dane klientów, klucze uwierzytelniające, listy aplikacji i wiele innych – kiedy znajdą się w niepowołanych rękach, wystarczą do przeprowadzenia cyberataku. Cyberprzestępca może uzyskać dostęp do sieci firmowej pozwalający na sprawdzenie, gdzie znajdują się zasoby cyfrowe firmy i które z nich są wartościowe.
W ostatnich latach cyberprzestępcy zmieniali swoje metody działania podczas ataków na firmy. Obecnie koncentrują się na tworzeniu sobie możliwości wejścia do sieci ofiary, obejściu zabezpieczeń i uzyskaniu dostępu do newralgicznych danych. Finalnym akordem jest atak oprogramowaniem typu ransomware. Przestępcy mogą zarobić nie tylko szantażując firmy, ale również sprzedając ich dane dostępowe w darknecie.
Według badań KELA Cybercrime Prevention („Ransomware Victims and Network Access Sales in Q3 2022”) obecna średnia cena za uprawnienia dostępu do sieci korporacyjnych to 2 800 dol. Oznacza to, że kupiony za kilkaset dolarów używany router, który bez większego wysiłku daje dostęp do sieci, może zapewnić cyberprzestępcy znaczny zwrot z inwestycji.
Przebadane routery pochodziły z organizacji różnej wielkości, od średnich firm po globalne przedsiębiorstwa z różnych branż (centra danych, kancelarie prawne, zewnętrzni dostawcy technologii, firmy produkcyjne i technologiczne, firmy kreatywne i twórcy oprogramowania). W ramach procesu testowania firma Eset, w miarę możliwości, ujawniała swoje ustalenia każdej zidentyfikowanej organizacji, aby upewnić się, że są one świadome sytuacji. Niektóre organizacje, których dane zostały naruszone, nie reagowały na powtarzające się próby kontaktu podczas gdy inne wykazały się profesjonalizmem i potraktowały zdarzenie jako poważne naruszenie bezpieczeństwa.
– Z tego testu należy wyciągnąć jeden, niezwykle istotny wniosek: poufne dane na każdym urządzeniu opuszczającym firmę muszą zostać trwale wymazane, a proces usuwania danych musi być ustandaryzowany i regularnie audytowany. Nie można dopuścić do tego, aby najcenniejsze dane firmowe krążyły po rynku jak zwykły, używany sprzęt biurowy. Część badanych organizacji mogła być przekonana, że zawiera umowy z renomowanymi dostawcami zajmującymi się utylizacją sprzętu. Tak jednak nie stało się. Aby unikać takich sytuacji, należy postępować zgodnie z wytycznymi producenta, dotyczącymi usuwania wszystkich danych z urządzenia, zanim fizycznie opuści ono siedzibę firmy. To zadanie, z którym powinna poradzić sobie większość pracowników działów IT – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa Eset.