ТЕХНІЧНИЙ ОПИС

Зловмисники можуть збирати інформацію про апаратне забезпечення хоста жертви, яка може бути використана під час вибору цілі. Інформація про апаратну інфраструктуру може включати різноманітні деталі, такі як типи та версії на конкретних хостах, а також наявність додаткових компонентів, що можуть вказувати на додатковий захист (наприклад, зчитувачі карток/біометрії, спеціальне обладнання для шифрування тощо).

Зловмисники можуть збирати цю інформацію різними способами, такими як прямі дії зі збору через Активне сканування (наприклад, імена хостів, банери серверів, рядки User-Agent) або Фішинг для отримання інформації. Зловмисники також можуть компрометувати сайти, а потім додавати шкідливий контент, призначений для збору інформації про хост від відвідувачів.

Інформація про апаратну інфраструктуру також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, оголошення про вакансії, карти мереж, звіти про оцінку безпеки, резюме або рахунки-фактури на закупівлю). Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук на відкритих вебсайтах/доменах або в технічних базах даних), створення оперативних ресурсів (розробка або отримання інструментів) та/або початкового доступу (компрометація ланцюжка постачання обладнання або додавання апаратних засобів).

Яку інформацію шукають хакери та де?

  • Вакансії та резюме: “Потрібен адмін зі знанням серверів Cisco UCS та сховищ NetApp”. Хакер розуміє, які драйвери та експлойти йому знадобляться.
  • Банери серверів: Коли ви підключаєтесь до пристрою, він часто каже: Welcome to HP iLO 5. Це одразу видає версію системи управління сервером.
  • User-Agent браузера: Сайт зловмисника може визначити, що ви зайшли з MacBookPro18,2 або Surface Laptop 5. Це допомагає підібрати вразливість саме під це залізо.
  • Звіти про закупівлі: Публічні тендери на закупівлю 500 ноутбуків конкретної моделі з вбудованим сканером відбитків пальців дають змогу хакеру заздалегідь вивчити слабкі місця цієї моделі в лабораторії.

Чому це небезпечно?

  • Точність атаки: Хакер не витрачає час на зайві дії. Він знає, що у вас стоїть модуль TPM 2.0, і буде шукати способи обходу саме цієї версії.
  • Supply Chain Attack: Якщо зловмисник знає модель обладнання, він може спробувати перехопити його під час доставки (Interdiction) або впровадити шкідливий код у прошивку на етапі виробництва.
  • Обхід 2FA: Знання про використання смарт-карт дозволяє хакеру підготувати фішингову атаку, яка імітує запит на зчитування карти.

Як захиститися?

  • Приховування банерів: Налаштуйте сервери та мережеве обладнання так, щоб вони не показували свою модель та версію прошивки при підключенні.
  • Гігієна публікацій: Навчайте співробітників (особливо ІТ-відділ) не вказувати занадто детальні технічні характеристики обладнання в резюме та соціальних мережах (LinkedIn).
  • Контроль тендерів: Уникайте публікації надлишкових технічних специфікацій у відкритих джерелах, якщо це не вимагається законом.
  • Блокування Fingerprinting: Використовуйте засоби захисту веб-браузерів, які блокують збір детальної інформації про залізо відвідувачів сайту.