Российские хакеры используют IoT-устройства для проникновения в сети, - Microsoft
Microsoft утверждает, что российские хакеры используют "лазейки" в виде слабых мер безопасности устройств Интернета вещей (IoT) для проникновения в корпоративные сети. Исследователи из Microsoft Intelligence Center Intelligence (Центр анализа угроз) обнаружили попытки взлома компаний, которые используют популярные устройства IoT, а именно телефоны VOIP, офисные принтеры и видеодекодеры.
В нескольких случаях злоумышленникам даже не приходилось взламывать пароли: устройства использовали стандартные настройки своих производителей. Об этом сообщает Информатор Tech, ссылаясь на Microsoft.
Специалисты утверждают, что это дело рук группировки Strontium, также известной как Fancy Bear и APT28, которую связывают с Главным управлением Генштаба вооруженных сил России. Но пользователи, в каком-то роде также неправы - у многих оставались те же пароли, которые выдавала система производителя. Таких случаев было три, но речь идет только о тех, которые успели зафиксировать. Одна из причин взлома - неустановленная последняя система безопасности, а это как ездить на Ferrari со скоростью 180 и не пристегиваться.
Устройства (телефоны VOIP, офисные принтеры и видеодекодеры) были всего лишь "входной дверью" для хакеров, а вот уже в системе они искали большее количество незащищенных файлов и учетных записей. «Получив доступ к каждому из устройств IoT, субъект запустил tcpdump (утилита UNIX, позволяющая перехватывать и анализировать сетевой трафик), чтобы прослушать сетевой трафик в локальных подсетях. Также было замечено, что перечисляются административные группы для попытки дальнейшей эксплуатации. Когда субъект перемещается с одного устройства на другое, они отбрасывают простой сценарий оболочки для установления постоянства в сети, что позволило расширенному доступу продолжить поиск. Анализ сетевого трафика показал, что устройства также обменивались данными с внешним сервером управления и контроля».
«Получив доступ к каждому из устройств IoT, субъект запустил tcpdump, чтобы отследить сетевой трафик в локальных подсетях. Также было замечено, что перечисляются административные группы для попытки дальнейшей эксплуатации. Когда субъект перемещается с одного устройства на другое, они создают сценарий оболочки для установления постоянства в сети, что позволило расширенному доступу продолжить поиск. Анализ сетевого трафика показал, что устройства также обменивались данными с внешним сервером управления и контроля», - объяснили в компании. Сейчас Microsoft активно работает над исправлением ошибок и поиском всех слабых мест для обеспечения безопасности сети. Что компания будет делать с хакерами и известной о них информацией - пока непонятно, но если это не остановить, атаки будут продолжаться еще не один год.
Это, кстати, не первый раз, когда российских хакеров ловят "на горячем". Так, например, на британских журналистов Bellingcat обрушились кибератаки и в издательстве уверенны, что это дело рук именно российских агентов. Также мы рассказывали о том, что один из хакеров получил доступ к внутренним документам и файлам, которые хранились в сфере безопасности, а также к провайдеру SSL-сертификации Comodo. Он использовал адрес электронной почты и пароль, которые были в открытом доступе в сети.
Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале и на Facebook.