Gli attacchi hacker, di solito, vengono sempre eseguiti alla stessa maniera. Non questa volta però, perché sembra che un recente report al riguardo abbia portato alla luce una situazione molto particolare e a tratti fantascientifica. Che cosa è successo precisamente? 
Una compagnia finanziaria della East Coast, specializzata in investimenti, è stata coinvolta in un incidente informatico che per fortuna non ha creato troppi danni rispetto a quanto si pensasse inizialmente. La vicenda, narrata da un esperto informatico, è andata così: un giorno, nel reparto IT, si è acceso un semaforo rosso. Un computer stava navigando la pagina di Atlassian Confluence, ovvero il software di team collaboration dell’azienda, sia dalla rete locale sia una location esterna che da diverse miglia dalla società.
Ad occhio e croce potrebbe sembrare il classico attacco da remoto, ma in realtà l’indirizzo di rete apparteneva al computer di un dipendente in smart working, che stava lavorando da casa. L’anomalia principale era l’accesso con un dispositivo dotato dello stesso MAC Address da una rete interna; da questa ragione è stato utilizzato un Fluke Networks AirCheck, dunque un analizzatore di rete wireless, per capire dove si trovasse quel misterioso PC.
L’obiettivo di questi attacchi e il loro fine
La ricerca ha portato il reparto IT sul tetto, dove sono stati trovati due droni: un DJI Matrice 600 e un DJI Phantom, ambedue modificati ovviamente. Il secondo era in buone condizioni ed era stato dotato di una versione modificata di PineApple, un dispositivo utilizzato per effettuare i penetration test delle reti wireless. Secondo log del drone, era arrivato sul tetto nei giorni precedenti ed era stato usato per rilevare le credenziali di accesso alla rete.
E a funzionare da “esca” è stato propriamente il computer di un dipendente, nello specifico quello che stava lavorando da casa senza rendersi conto che e sue credenziali erano state clonate. Il DJI Phantom, dopo aver acquisito le informazioni, ha iniziato a trasmetterle in formato criptato e queste sono state ricevute dal DJI Matrice 600, che sembra essere arrivato sul tetto soltanto in un secondo momento. Il drone, come se non bastasse, è stato equipaggiato con alcune batterie, cioè un Raspberry e un micro computer al quale sono state collegate una scheda ethernet e una scheda 4G.
Il DJI Matrice 600 è atterrato vicino all’impianto di riscaldamento e ventilazione e questo ha danneggiato in parte il drone, anche se i suoi dati sono rimasti accessibili senza problemi. Era chiaro che lo scopo fosse quello di guadagnare il pieno accesso alla pagina di Confluence dell’azienda, per la precisione quella del reparto IT dove erano contenuti i dettagli su tutte le altre macchine con le relative credenziali e le procedure di accesso. Una rete che aveva solo alcuni filtri sull’accesso, come quello sul MAC Address che ha fatto scattare l’allarme. Tuttavia qualcosa è andato storto e, malgrado l’ingegnoso tentativo, non ce l’hanno fatta.
