I begynnelsen av juni fant sikkerhetsanalytikere i selskapet Recorded Future ut at noen forsøkte å selge militære dokumenter på det såkalte «mørke nettet». Hackeren hevdet å ha tilgang til dokumenter om dronen MQ-9 Reaper, inkludert sensitiv informasjon om det amerikanske luftforsvarets treningsprogram for vedlikehold av dronen. Det skriver Ars Technica.
Hackeren skal ha forsøkt å selge dokumentet for 150-200 dollar. Analytikerne ved Recorded Future fikk kontakt med hackeren, og fikk verifisert dokumentene.
Det viser seg at hackeren har fått tilgang til dokumentene gjennom en sårbarhet i trådløse nettverksrutere fra Netgear. Sårbarheten ble kjent for over ett år siden, og lar noen som vet admin-passordet injisere kommandoer som kan gjøre det mulig å lage en bakdør og få tilgang til filer.
I tillegg til informasjon om MQ-9 Reaper-dronen inneholdt dokumentene også informasjon om vedlikehold av M1 Abrahams-stridsvognen, trening av stridsvognpersonell, og så videre.
Ikke vanlig å selge militære dokumenter på det åpne markedet
Recorded Future skriver at det ikke er uvanlig å finne sensitive data, som personopplysninger, brukernavn og passord, finansiell informasjon eller medisinske opplysninger for salg på det mørke nettet.
«Det er imidlertid svært sjelden at kriminelle hackere stjeler og forsøker å selge militære dokumenter på et åpent marked», står det i rapporten.
Brukte Shodan til å finne den sårbare ruteren
Hackeren brukte søkemotoren Shodan til å søke etter sårbare rutere som hadde port 21 åpen (port 21 brukes til FTP). Sårbarheten i en Netgear-ruter ved Creech Air Force Base gjorde det mulig for hackeren å få tilgang til lokalnettet ruteren sto i, og deretter få tilgang til datamaskinen til en kaptein ved basen. Hackeren kunne så laste ned en rekke dokumenter fra et cache-område på PC-en.
«Kapteinen som fikk datamaskinen sin kompromittert hadde ironisk nok nettopp fullført en Cyber Awareness Challenge», og burde visst om de nødvendige tiltakene for å forhindre uautorisert tilgang. I dette tilfellet, sette et passord for FTP», skriver Recorded Future.
Etter at hackeren forsøkte å selge de nevnte dokumentene, skal han eller hun også ha lagt ut ytterligere militærdokumenter. Sikkerhetsanalytikerne har ikke klart å bringe på det rene hvor disse stammer fra, men ut fra innholdet ser de ut til å være stjålet fra Pentagon eller fra en representant for den amerikanske hæren (U.S. Army).
Hackeren skal ha fortalt Recorded Future at han pleide å underholde seg selv med å se på live video fra militærdroner, samt fra kameraer brukt til grenseovervåking.
Mer enn 4000 rutere er berørt
Ifølge sikkerhetsekspertene skal mer enn 4000 Netgear-rutere fortsatt være sårbare for denne typen angrep.
Den aktuelle sårbarheten som ble brukt i dette tilfellet er langt fra den første som berører Netgear-rutere, et lignende hull ble funnet i februar i 2016. Også mot slutten av 2016 ble det funnet en rekke alvorlige sårbarheter i Netgear-rutere, som vi har skrevet om her.
Recorded Future skal ha klart å finne både navnet til hackeren og landet vedkommende oppholder seg i, og skriver at de bistår politimyndighetene med deres etterforskning.
