Одна з елітних російських хакерських груп, що фінансується державою, має намір використовувати злами пристроїв з категорії Інтернету речей (IoT) як спосіб зламу корпоративних мереж. Після цього атаки будуть спрямовані на інші більш важкодоступні цілі, повідомляє ZDNet.
Такі напади спостерігалися в реальності, зазначає Центр розвідки Microsoft Threat Intelligence, один із відділів кібербезпеки виробника ОС. Компанія приписує атаки російській групі, яку вона називає Strontium, також широко відомій як APT28 або Fancy Bear.
Раніше ця група була причетна до зламу Національного комітету Демократичної партії США 2016 року, і, згідно з обвинувальним висновком, поданим у 2018 році американськими чиновниками, її було ідентифіковано як підрозділ 26165 та підрозділ 74455 російської військової розвідки (Головне розвідувальне управління Генштабу Міноброни РФ).
Microsoft заявила, що в квітні цього року її співробітники помітили діяльність групи Strontium, яка намагалася “скомпрометувати популярні пристрої IoT у різних місцях та у різних клієнтів”. Група хакерів намагалася використовувати такі речі, як телефон VOIP, офісний принтер та відеодекодер, повідомляє Microsoft.
“Розслідування виявило, що хакерська група використовувала ці пристрої для отримання початкового доступу до корпоративних мереж”, – сказала компанія, що базується в Редмонді. “У двох випадках паролі для пристроїв були розгорнуті без зміни паролів виробника за замовчуванням, і в третьому випадку останнє оновлення безпеки не було застосовано до пристрою.”
Microsoft заявила, що хакери використовували компрометовані пристрої IoT як вхідну точку до внутрішніх мереж своїх цілей, де вони шукали інші вразливі системи для розширення цього початкового місця.
“Отримавши доступ до кожного з пристроїв IoT, хакери запустили tcpdump, щоб моніторити мережевий трафік у локальних підмережах, – зазначив представник Microsoft. – Вони також бачили перелік адміністративних груп для спроби подальшої експлуатації. Коли хакер переміщався з одного пристрою на інший, вони скидають простий скрипт оболонки, щоб встановити “маяк” у мережі, що дозволило розширити доступ для продовження полювання.
Microsoft заявила, що виявила та заблокувала ці напади на своїх ранніх стадіях, тому її розслідувачі не змогли визначити, що саме FancyBear намагався вкрасти з компрометованих мереж.
Група Stromtium, що полює на незахищені пристрої IoT, далеко не новачок у цій справі. Група раніше створила ботнет з десятків тисяч домашніх маршрутизаторів за допомогою зловмисного програмного забезпечення VPNFilter.Експерти вважають, що Strontium готувався використовувати ботнет для запуску DDoS-атак у ніч фіналу Ліги чемпіонів УЄФА, який відбувся в Києві того ж року. Але крім Strontium, інші спонсоровані державою групи також почали орієнтуватися на пристрої IoT та, головним чином, роутери. Інші приклади включають групи LuckyMouse, Inception Framework та Slingshot.
Microsoft планує розкрити більше інформації про атаки російських хакерів у квітні 2019 року пізніше – на конференції з питань безпеки Black Hat USA 2019, яка відбудеться цього тижня. Цей звіт Microsoft про ці останні атаки включає індикатори втручання (IoC), такі як IP-адреси серверів командування та управління (C&C) Fancy Bear, які організації, можливо, захочуть заблокувати у своїх мережах.
Також, дві нові рекламні кампанії в Інтернеті організували кіберзлочинці. Одна з них – широкомасштабна кампанія з розповсюдження експлойт-набору (EK), розроблена для того, щоб обійти традиційні захисні засоби такі, як блокатори оголошень, а інша використовує веб-переадресації для відбору та націлювання на користувачів Mac
Австралія, Канада, Нова Зеландія, Великобританія і США, вимагають запровадити бекдор у шифрування таких додатків, як WhatsApp, Facebook, Instagram і інших месенджерів.
