История о том, как один злоумышленник заставил тысячи принтеров по всему миру печатать листовки со свастикой



    Эксперты по информационной безопасности уже давно предупреждают — многие миллионы подключенных к Сети электронных устройств уязвимы к взлому. Это касается подавляющего большинства IoT гаджетов, производители которых больше беспокоятся о дизайне своих устройств, чем о безопасности пользователей этих девайсов.

    И на днях один-единственный злоумышленник смог доказать то, о чем до этого только говорили. Каких-либо особо сложных устройств или ПО для своей работы взломщик не использовал, но ему удалось отослать на печать листовки собственного изготовления на тысячи принтеров по всему миру. Сами листовки не будем обсуждать в силу их содержимого (свастика, расизм и т.п.).

    Первым шагом во всей этой истории был сбор информации — а именно IP подключенных к Сети устройств из Северной Америки и Австралии с открытым портом 9100. Сделать это просто с сервисом Shodan или  masscan. А дальше уже и вовсе все просто — выводим любой материал на печать при помощи специального PostScript-файла.

    #!/bin/bash
    for i in `cat printers`
    do
    cat payload.ps |netcat -q 0 $i 9100
    done


    Скрипт для рассылки состоит всего из нескольких строчек (плюс еще файл с собранными ранее IP адресами). Плюс взломщик использовал строчку while true; do killall --older-than 1m netcat;sleep 1;done для того, чтобы убрать подвисшие подключения.



    Листовка была отправлена «в печать» на более, чем 30 тысяч устройств. Правда, далеко не все такие гаджеты оказались принтерами.

    О том, что акция прошла успешно, взломщик (Эндрю Оренхаймер (Andrew Auernheimer), который также известен под ником weev) узнал уже из сообщений в Твиттере.







    Как оказалось, листовки печатали принтеры, установленные во многих организациях, но особенно много их оказалось напечатано в американских университетах.

    Многие пользователи в том же Твиттере говорили, что теперь собираются обратиться к специалистам по информационной безопасности, чтобы подобное больше не повторилось. Но взломщик не унывает, и собирается провести повторную акцию в Европе, а потом, может быть, снова в Австралии и Северной Америке.

    Интересно, что спустя несколько дней те же принтеры напечатали еще листовки — на этот раз с анти-ЛГБТ призывами. Но Оренхаймер уже к этому вроде бы и непричастен (по его собственным словам).
    Support the author
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 23

      0
      Была когда-то статья на Хабре, что специальным запросом в обычном Гугле такие принтеры спокойно ищутся, и их легко добавить в систему и отправить что-то печатать.
        +2
        image
        Помню про веб-камеры. Про принтеры не помню.
        P.S.
        image

        что-то спойлер не работает.
        <!--<spoiler title="Бонус">-->
        
        <img src="https://habrastorage.org/getpro/geektimes/comment_images/467/16b/290/46716b290a002cf7c05b0fc49c27312b.png" alt="image"/>
        
        <!--</spoiler>-->
          0
          Не совсем в гугле — для подобных запросов используют поисковик Shodan.
            0
            Вот хоть убейте — не смог найти. Но точно помню, что такое было, что искали специальным запросом именно в гугле, и в комментах стоял смех: выкладывали ссылки на найденные принтеры, где-то потратили всю загруженную в принтер бумагу, где-то заспамили промышленный плоттер и т.д. Это давно было, и может, даже не на хабре ещё — не помню...
          0
          это новый метод директ-рекламы :)
            +1
            Потрясающе. Следующие две недели принтеры мира будет лихорадить, пока сисадмины все не поправят.
              +1
              Пока сисадмины не наиграются.
              0
              Можно же так пропаганду печатать! Ну и мысли у меня)
                +2
                ВОЙНА — ЭТО МИР
                СВОБОДА — ЭТО РАБСТВО
                НЕЗНАНИЕ — СИЛА
                  +4
                  Так ее и печатал герой статьи, просто это была неправильная пропаганда.
                    –1
                    Имхо не бывает "правильной" и "неправильной" пропаганды.
                    Любая пропаганда — ложь и следовательно масдай и бяка.
                      +2
                      Почему любая пропаганда ложь? Пропаганда это агитация, но её можно построить как на лжи, так и на чистой правде, просто сместив акценты в нужную сторону. Пропаганда здорового образа жизни, экологическая пропаганда — тому примеры, вовсе не обязательно лгать, достаточно просто сместить акцент с «ерунда какая-то» до «да они офигели, на кол их!»…
                        +2
                        Но вы же понимаете, что сейчас тоже занимаетесь пропагандой?
                    –2
                    Напоминает историю с доступом к солонке с солью, когда все закончилось выдачей соли по паспортам. Ну стоит принтер в открытом доступе, и что, можно подумать ктото будет специально на него посылать печать чтобы испортить все листы. С таким же результатом можно ходить по кафе и рассыпать соль из солонок.
                      –1
                      Разница в том, что обычно принтеры доступны только из внутренней локальной сети, и для абсолютного большинства организация это нормально.
                      Плохо, когда такой принтер почему-то имеет внешний ip, да еще и доступен откуда-попало.
                      Аналогия с соломками неуместна, т.к. соломки всё-таки находятся внутри столовой, как и принтеры обычно размещают внутри локальной сети, а здесь принтер смотрит не просто «на городскую улицу», а на «весь мир».
                        0
                        А причина одна, не отключенный upnp на роутере. Ну и белый ip в придачу.
                        0
                        Ну например в принтер-МФУ, а таких сейчас большинство в организациях, можно вбить аккаунт для доступа к сетевому ресурсу — чтобы МФУ сканы выкладывал.
                        Очень удобно забирать с МФУ такие аккаунты для последующих пентестов.
                        А солонок с доступом в интернет+локалку я пока не видел.
                        +1
                        Ничего нового.
                        По-моему еще прошлым, или даже позапрошлым летом, разные личности так развлекались, с использованием того же Шодана.
                        Искали принтеры и (!)плоттеры HP, заходили в веб-интерфейс, и через него печатали PDF-ку, с 50-100 страницами тролльфейсов и ч0рных властелинов.
                          +1
                          Это мне напомнило открытый SMB (да и всё остальное) в мир, который практиковался на Win в 2000-х годах.
                            0
                            У меня из какого-то из соседних офисов принтер светится с открытым подключением по WiFi. Уже 2-й год. Сколько раз подмывало послать им туда анекдоты на печать.
                            • UFO just landed and posted this here
                                0
                                Уж сколько раз твердили миру, но в очередной срок делается "открытие". Буквально позавчера писал очередную статью по защищенности всяких устройств. Не первый раз рассылки на открытые в сеть принтеры:
                                https://xakep.ru/2013/01/28/60009/
                                http://blogerator.ru/page/bezopasnost-i-vzlom-setevogo-printera-cain-parol-nastrojka-printera-hp-canon
                                и тд и тп
                                  +2
                                  Рассылка это фигня. А вот использование доступных по сети принтеров в качестве места хранения информации для злоумышленников — это да:
                                  https://xakep.ru/2016/01/28/hp-printers-for-malware/
                                  тысячи офисных принтеров, объем внутренних хранилищ которых исчисляется гигабайтами, свободно доступны через интернет. Викери сосредоточился на изучении устройств компании HP, которые доступны по порту 9100 и фактически предоставляют хакеру анонимный FTP-сервер.

                                  Злоумышленники могут воспользоваться опенсорсной утилитой для загрузки файлов на принтер HP и взаимодействия с ним. Названия утилит Викери умышленно не приводит. Как только файлы закачались, они становятся доступны через браузер и адрес вида http://<Printer_IP_Address>/hp/device/<File_Name>.

                                  Only users with full accounts can post comments. Log in, please.