В прошлом году люди поголовно переходили на удаленную работу, и это, помимо всего прочего, сильно изменило ландшафт угроз. С точки зрения кибербезопасности, самым неприятным изменением стала потеря контроля над локальным сетевым окружением рабочих станций. Особую опасность в этом смысле представляют домашние роутеры сотрудников, которые, по сути, заменили сетевую инфраструктуру, ранее контролируемую IT-специалистами компании.
На RSA Conference 2021 исследователи Шарль ван дер Волт (Charl van der Walt) и Викус Росс (Wicus Ross) в ходе доклада All Your LAN are Belong to Us. Managing the Real Threats to Remote Workers представили несколько вариантов атаки на рабочий компьютер через роутер, контроль над которым смогли заполучить злоумышленники.
Почему домашние роутеры сотрудников — это серьезная проблема
В чем, собственно, корень проблемы? Если обновления системы и грамотных настроек рабочего компьютера еще как-то можно добиться при помощи корпоративных политик безопасности, то домашний роутер корпоративным системным администраторам неподвластен абсолютно. Никто не знает, какие еще устройства помимо рабочей станции к нему подключены, когда прошивку роутера последний раз обновляли (если вообще обновляли) и надежный ли на нем пароль (если его вообще сменили с заводского).
Но отсутствие контроля — это только часть проблемы. В огромном количестве домашних и SOHO-роутеров есть известные уязвимости, проэксплуатировав которые, злоумышленники могут получить полный контроль над устройством. И примеров тому куча — взять хотя бы огромные IoT-ботнеты типа Mirai и ему подобных. Они объединяют десятки, а иногда и сотни тысяч захваченных роутеров и используют их для самых разных целей.
При этом следует помнить, что любой маршрутизатор — это по сути небольшой компьютер под управлением какой-нибудь разновидности Linux. Так что с помощью захваченного роутера можно добиться многого. Вот несколько примеров, приведенных исследователями.
Перехват VPN-соединения
Основной инструмент, при помощи которого компании пытаются бороться с ненадежным сетевым окружением удаленного сотрудника, — VPN. Обмен данными между компьютером и корпоративной инфраструктурой осуществляется по шифрованному каналу. Но если маршрутизатор сотрудника контролируется злоумышленником, то крайне важно правильно настроить VPN-соединение.
Дело в том, что многие компании используют VPN в режиме раздельного туннелирования (split tunneling). В целом это имеет определенный смысл: через VPN отправляется трафик только к серверам компании — например, соединение через RDP, а все прочие запросы идут через незашифрованную публичную сеть.
Но в этом случае у злоумышленника, контролирующего роутер, появляется возможность создать DHCP-маршрут и перенаправить RDP-трафик на свой сервер. Конечно, расшифровать VPN это ему никак не поможет, но, создав поддельный экран ввода пароля, он сможет перехватить учетные данные от RDP-соединения и использовать их для дальнейших атак на корпоративную инфраструктуру. А через RDP сейчас очень любят действовать операторы шифровальщиков.
«Подставная» операционная система
Еще один хитрый сценарий атаки через захваченный роутер связан с эксплуатацией функции Preboot Execution Environment (PXE). С помощью нее современные сетевые адаптеры позволяют подгружать операционную систему по сети. Чаще всего эта функция отключена, но в некоторых компаниях используется, например для удаленного восстановления ОС сотрудника.
Контролируя DHCP-сервер на вашем роутере, злоумышленник может подсунуть компьютеру специально модифицированную систему, заточенную под удаленное управление. Неискушенный в IT сотрудник, скорее всего, даже не поймет, что происходит (особенно если отвлечь его внимание каким-нибудь сообщением об устанавливаемых обновлениях). А тем временем преступники получат полный доступ к файловой системе и всем рабочим данным, хранящимся в ней.
Как оставаться в безопасности
Чтобы обезопасить компьютеры сотрудников от описанных выше вариантов атаки, необходимо сделать следующее:
- Не использовать настройку Split Tunneling в VPN. Многие корпоративные VPN-решения позволяют настроить Forced Tunneling с исключениями (то есть по умолчанию весь трафик идет через шифрованный канал, и только специально оговоренные ресурсы доступны в обход VPN).
- Отключить Preboot Execution Environment в настройках BIOS.
- Полностью шифровать жесткий диск компьютера при помощи Full Disk Encryption (в случае Windows это штатная функция BitLocker).
В целом же, чтобы повысить уровень безопасности корпоративной инфраструктуры при работе в удаленном или гибридном режиме, нужно уделять больше внимания роутерам сотрудников. В некоторых компаниях техническая поддержка консультирует сотрудников по оптимальным настройкам домашней точки доступа. Кое-где предпочитают выдавать удаленным работникам заранее сконфигурированный рабочий роутер и допускают подключение к корпоративным ресурсам только через него. Ну и самое главное — важно объяснять сотрудникам современные угрозы и обучать противодействию им.