Drukarki, dekodery wideo oraz inne elektroniczne sprzęty biurowe podłączone do internetu stają się narzędziem w rękach rosyjskich hakerów z grupy FancyBear działających na zlecenie państwa. Cyberprzestępcy wykorzystują te urządzenia, żeby wtargnąć do sieci korporacyjnych i zbudować przyczółek do dalszych działań zmierzających do naruszenia bezpieczeństwa innych urządzeń działających w ramach internetu rzeczy (IoT), ostrzegają eksperci od wykrywania zagrożeń z firmy Microsoft.
„Po uzyskaniu dostępu do każdego z urządzeń IoT atakujący mogą wykorzystać komendę tcpdump do podglądania ruchu w lokalnych podsieciach. Zaobserwowano również próby pozyskiwania przez sprawców ataków kolejnych, wyższych uprawnień dostępu do sieci. W miarę, jak atakujący uzyskują dostęp do kolejnych urządzeń, korzystają często ze skryptu pozwalającego na zbudowanie trwałej obecności w atakowanej sieci i dalsze poszukiwanie (danych – PAP). Analiza ruchu sieciowego wykazała, że atakowane urządzenia komunikują się również z zewnętrznym serwerem odpowiedzialnym za wydawanie i kontrolę poleceń” – napisali przedstawiciele Microsoftu w swoim raporcie o zagrożeniach.
Opisane przez firmę działania grupy hakerskiej FancyBear zostały wykryte w kwietniu. Do ataku użyto wówczas drukarki biurowej, stacyjki telefonicznej oraz dekodera wideo znajdujących się w różnych lokalizacjach i komunikujących się z serwerem należącym do hakerów. W przypadku dwóch spośród tych urządzeń atak był możliwy dzięki słabym hasłom, które były ustawione domyślnie od początku eksploatacji urządzenia. W trzecim przypadku natomiast zaatakowane urządzenie obsługiwało stare, nieaktualne już oprogramowanie firmowe, które cechowała znana podatność bezpieczeństwa.
Serwis Ars Technica przypomina, że w ubiegłym roku FBI oceniło, iż grupa FancyBear znana również szerzej jako APT28 lub Strontium odpowiedzialna była za zainfekowanie ponad 500 tys. routerów w 54 krajach. Złośliwe oprogramowanie, którego wówczas użyli działający na zlecenie Rosji hakerzy to VPNFilter – program, który pozwala na monitorowanie, zapisywanie informacji o ruchu sieciowym lub zmianę jego parametrów pomiędzy urządzeniami końcowymi podłączonymi do sieci lub stronami internetowymi, czy też systemami kontroli przemysłowej korzystającymi z protokołu komunikacji Modbus.
Szkodliwość VPNFilter została zneutralizowana przez FBI, które przy tej sprawie współpracowało z grupą Talos należącą do firmy Cisco.
propertynews.pl
