Нэйт Бич-Уэстморлэнд (Nate Beach-Westmoreland), www.boozallen.com
Тихие офисные принтеры уже не столь скромны.
Сегодняшние МФУ делают гораздо больше, чем просто печатают. У них теперь есть целый ряд возможностей (от факса и электронной почты до беспроводной сети), и каждая новая функция добавляет ещё одну возможность для использования злоумышленниками или ещё один шанс безвозвратной потери данных.
Исследования показывают, что именно принтеры, скорее всего, являются распространённой причиной потери данных среди компаний. Проведенный в 2017 году опрос 200 американских и европейских компаний показал, что более половины из них уже сталкивались со случаями потери данных, связанными с принтерами.
Причины потерь данных, связанных с принтерами среди респондентов:
- Перехваченные на цифровом уровне задания для печати (50%)
- Данные, потерянные с жестких дисков (48%)
- Документы, оправленные на внешние источники через принтеры (44%)
- Принтеры, взломанные, чтобы получить доступ к сети (18%)
Реальные типы взломов принтеров
При злонамеренных взломах хакеры продемонстрировали предпочтение нацеливаться на физические возможности принтера (либо отключая их, либо захватывая управление функциями печати. Вот некоторые из разновидностей принтерных атак за предыдущие годы.
- Вызывание суматохи: При нападении на банки хакеры часто нацеливаются на принтеры, чтобы дезориентировать жертв. Преступники отключали принтеры, которые подтверждали переводы через SWIFT, во время нападения на многие индийские банки.
- Удержание управления для выкупа: Программа-вымогатель, известная как Mamba, или HDDCryptor, может отключать принтеры, распространяясь по сети через блок серверных сообщений.
- Вандализм: В 2016 году интернет-тролль заставил принтеры по всему миру печатать антисемитские сообщения, разослав файл PostScriptна незащищенные порты 9100.
- «Альтруизм»: В 2017 году хакер по кличке «Stackoverflowin» создал автоматический скрипт, который выявлял незащищённые порты принтеров и посылал задание для печати, которое предупреждало пользователей об уязвимости.
- Неавторизованное восстановление данных: Годами исследователи могли извлекать хранящиеся копии документов с использованных принтеров. В 2010 году репортёр CBS, проводивший журналистское расследование, купил четыре принтера, каждый примерно за 300 долларов США, и смог извлечь из них платёжные документы, жалобы на домашнее насилие, планы постройки зданий и многое другое. В 2013 году Департамент здравоохранения и защиты населения оштрафовал одну компанию на 1,2 миллиона долларов за нарушение HIPAA (Health Insurance Portability and Accountability Act ), так как компания не удалила медицинские данные на одном из принтеров, который она сдала в аренду.
Уязвимости принтера, выявленные исследователями
Исследователи вопроса кибербезопасности стараются много экспериментировать на современных МФУ. В процессе исследований они обнаружили ряд уязвимостей:
- Удалённый запуск кода и обходные маневры: Телефонные линии представляют собою слабое звено в большинстве самых современных решений по безопасности. В 2018 году в CheckPoint выявили «Faxploit», метод запуска случайного удалённого кода на МФУ по телефонным линиям, которые использовались МФУ для реализации функции факса. Исследователи продемонстрировали, как этот код может быть использован для того, чтобы осуществлять дальнейшие действия и незаметного продвигаться по сети. Этот метод полезен для обхода брандмауэров или установки плацдарма на незащищенном принтере, через который можно будет извлекать данные.
- Скачки искрового промежутка: В 2015 году агентство Red Balloon Security продемонстрировало, что сигналы, передаваемые беспроводным лазерным принтером, могут быть модифицированы при передаче радиосигнала путём установки вредоносного ПО на устройство. Названная исследователями «взломом смешной антенны» («funtenna hack»), данная тактика может помочь злоумышленникам, имеющим радиоприёмник с соответствующим программным обеспечением и радиоантенну AM, перехватывать сигналы.
- Похищение данных, отключение сервиса, запуск удалённого кода, увеличение прав: В 2017 году немецкие исследователи раскрыли свой набор для управления принтером (PRET), набор (доказательство существования ему подобных) для взлома сетевых принтеров. Данный инструмент позволил им получить доступ к потенциально важной информации из широкого спектра устройств и ввергнуть устройства в постоянное состояние взлома без возможности обслуживания, расширить свои права доступа или удалённо запустить вредоносный код.
- Причинение физического вреда: В 2011 году исследователи Колумбийского университета заявили, что обнаружили уязвимость в одном из брендов принтеров, которая позволила им удалённо установить вредоносное встроенное ПО во время печати. В одном из случаев эта уязвимость была использована, чтобы вызвать перегрев термоузла вплоть до задымления. Термопредохранитель успел выключить принтер прежде, чем тот мог загореться.
Будущее принтерных уязвимостей
В агентстве Cyber4Sight предвидят несколько потенциально новых типов атак, подразумевающих принтеры. Некоторые могут копировать нынешние атаки на Интернет вещей (IoT), масштабно взламывающие устройства, подключенные к интернету. Другие могут использовать широкое количество функций, доступных в этих устройствах, чтобы создавать хаос в корпоративной среде.
- Криптодобыча: По мере того, как выкупное ПО понижается в объёме, а добытчики криптовалют становятся всё популярнее, кто-нибудь, вероятно, попытается заразить огромное количество незащищенных, подсоединенных к сети принтеров для добычи криптовалюты.
- Похищение документов: Злоумышленники могут изобрести новые похищающие данные «зомби» сети, нацеленные на незащищенные принтеры. Атаки из таких сетей могут внедрить вредоносное ПО в принтеры, которое будет либо выкачивать все задания для печати, либо только те задания, что содержат определённые слова или типы данных (например, номера социального страхования). Такие атаки могут представлять интерес как для преступников, так и для иностранных агентов.
- Начальная точка входа в сеть: Злоумышленники могут использовать принтеры, как точки входа перед постепенным продвижением по сети, получая возможность для любых действий от похищения данных до уничтожения устройств.
- Модификация документов: Злоумышленники могут изменять контент документов по мере их печати. Если, например, будет взломан принтер, печатающий этикетки для отправки товаров, то товары могут быть перенаправлены на другой адрес, что позволит осуществить кражу.
- E-mail атаки: Вредоносные e-mail сообщения, выдающие себя за документы, отправляемые с принтеров, уже являются распространённым явлением, но хакеры могут усовершенствовать свои методы, используя многофункциональные принтеры для рассылки вредоносных сообщений по легитимным, внутренним аккаунтам электронной почты. Такой тип атак может включать в себя распространение вредоносного ПО в виде прилагаемых документов или даже мошенничества с деловыми письмами (BEC).
В более широком смысле, современный принтер – это ещё один пример растущей вездесущности устройств (IoT) в корпоративной и личных средах, и основная линия сопутствующих угроз. Знание о потенциальных рисках для безопасности МФУ – это первый шаг к созданию более безопасной корпоративной среды.
Подробности: http://sforp.ru/news/_mostInterest/22.htm#1151