Federalni istražni biro (FBI) izdao je obavještenje privatne industrije (PIN) kojim upozorava stručnjake za sajber sigurnost i administratore sistema o novoj prijetnji koja cilja na web kamere i digitalne video rekordere (DVR).
Maliciozni softver, poznat kao HiatusRAT, aktivno skenira ranjivosti ovih uređaja, posebno onih kineskog porijekla.
HiatusRAT, trojanac za daljinski pristup (RAT), je u funkciji od jula 2022. Ovaj sofisticirani malver omogućava sajber kriminalcima da daljinski preuzmu kontrolu nad ciljanim uređajima.
Prvobitno fokusirana na zastarjele mrežne uređaje, Hiatus kampanja je proširila svoj opseg i uključila niz organizacija na Tajvanu, pa čak i izviđanje protiv servera američke vlade koji se koristi za prijedloge ugovora za odbranu.
HiatusRAT napada web kamere i DVR-ove
U martu 2024. glumci HiatusRAT-a pokrenuli su široku kampanju skeniranja koja je ciljala uređaje Interneta stvari (IoT) širom Sjedinjenih Država, Australije, Kanade, Novog Zelanda i Ujedinjenog Kraljevstva.
Napadači posebno traže propuste u web kamerama i DVR-ima, uključujući nekoliko kritičnih sigurnosnih propusta koje proizvođači još nisu zakrpili.
U obavještenju FBI-a se ističe da su sajber kriminalci posebno zainteresovani za Xiongmai i Hikvision uređaje s telnet pristupom.
Oni koriste različite alate u svojim napadima, uključujući Ingram, alat za skeniranje web kamere dostupan na GitHubu i Medusa, alat za probijanje autentifikacije otvorenog koda brute-force.
Hakeri HiatusRAT-a iskorištavaju nekoliko ranjivosti, uključujući:
- CVE-2017-7921: Neispravna ranjivost u autentifikaciji koja utiče na različite modele Hikvision kamera.
- CVE-2018-9995: Greška u više brendova DVR-a koja omogućava udaljenim napadačima da zaobiđu autentifikaciju.
- CVE-2020-25078: Ranjivost na određenim modelima D-Link kamera koja omogućava otkrivanje lozinke udaljenog administratora.
- CVE-2021-33044: Ranjivost zaobilaženja autentifikacije identiteta u nekim Dahua proizvodima.
- CVE-2021-36260: Ranjivost ubrizgavanja komande na web server nekih Hikvision proizvoda.
FBI snažno preporučuje organizacijama da ograniče upotrebu zahvaćenih uređaja ili da ih izoluju od ostatka svoje mreže. Pored toga, biro savjetuje implementaciju najboljih praksi sajber sigurnosti, uključujući:
- Redovno zakrpe i ažuriranje operativnih sistema, softvera i firmvera
- Često mijenjate lozinke mrežnog sistema i naloga
- Provođenje jakih politika lozinki i višefaktorske provjere autentičnosti
- Implementacija alata za nadzor sigurnosti za otkrivanje abnormalne mrežne aktivnosti
- Hvatanje i revizija dnevnika udaljenog pristupa
- Implementacija pravila stavljanja na bijelu listu aplikacija
- Redovna revizija administrativnih korisničkih naloga
- Kreiranje vanmrežnih rezervnih kopija za kritičnu imovinu
- Implementacija segmentacije mreže gdje je to moguće
Izvor: CyberSecurityNews
