Cez tieto populárne webkamery a DVR zariadenia ťa môže hacker špehovať! Sú náchylné na útok malvéru HiatusRAT, varuje americká FBI!
Bezpečnostní analytici odhalili novú hackerskú kampaň, ktorá cieli na zraniteľné webkamery a DVR zariadenia.
Americký vyšetrovací úrad FBI varuje pred útokmi nového malvéru HiatusRAT, ktorý sa zameriava na ohrozené webkamery a digitálne videonahrávače, ktoré možno nájsť v online priestore, informuje Bleeping Computer. Tento škodlivý softvér dokáže získať vzdialený prístup a kontrolu nad infikovaným zariadením.
Kyberzločinci sa v rámci svojej kampane zameriavajú hlavne na čínske zariadenia, ktoré ešte nedostali najnovšiu bezpečnostnú aktualizáciu alebo im už skončila bezpečnostná podpora. Útočia po celom svete, pričom zneužívajú hneď niekoľko bezpečnostných slabín.
Hlbšia analýza ukázala, že najčastejšie napádané zariadenia sú od spoločností Hikvision a Xiongmai s telnet prístupom cez Instagram. Ide o open-source softvér na hľadanie zraniteľností vo webkamerách. Hackeri používajú aj open-source nástroj Medusa, ktorý im umožňuje takzvané brute-force útoky, teda útoky hrubou silou.
Ako sme spomenuli na začiatku, hackeri cielia na webkamery a DVR zariadenia, ktoré majú odhalené nasledujúce TCP porty:
- 23
- 26
- 554
- 2323
- 567
- 5523
- 8080
- 9530
- 56575
Americká FBI radí, aby užívatelia obmedzili používanie potenciálne ohrozených zariadení alebo aby takéto webkamery a DVR zariadenia izolovali od zvyšku svojej siete. Tým môžu zabrániť napadnutiu siete a pohybu hackerov po sieti, čo môže viesť k infikovaniu ďalších zariadení.
Neprehliadni
Táto hackerská kampaň sa objavila po dvoch predchádzajúcich sériách útokov. Jeden z týchto útokov zaútočil na server amerického Ministerstva obrany. Druhá vlna útokov napadla viac ako sto podnikov zo Severnej Ameriky, Európy a Južnej Ameriky.
Po prvýkrát malvér HiatusRAT odhalila kyberbezpečnostná spoločnosť Lumen. Tá vo svojej analýze odhalila, že tento malvér sa primárne používa na doručenie ďalšieho škodlivého softvéru na infikovaných zariadeniach. Následne napadnuté zariadenia pretvára na SOCKS5 proxy pre komunikáciu s hackerským command and control serverom.
Momentálne hackeri za malvérom HiatusRAT zmenili svoje ciele a začali sa zameriavať na iné typy zbieraných informácií. FBI podotýka, že momentálne činnosť hackerov pomáha strategickým záujmom Číny.
RAT malvér na vzostupe
RAT malvér, alebo inak aj Remote Access Trojan, je druh trojského koňa, ktorý dovoľuje kyberzločincom získať vzdialený prístup do infikovaného zariadenia. Nedávno sme informovali o kampani DroidBot, ktorá zasiahla Android cez niekoľko falošných aplikácií. Od ostatných Remote Access Trojan malvérov sa DroidBot líši tým, že kombinuje dve hackerské taktiky, skrytý VNC a overlay útok. K tomu sa vyznačuje vlastnosťami, ktoré sa typicky spájajú so spywarom. Malvér obsahuje keylogger, teda softvér na čítanie stlačení klávesnice a niekoľko monitorovacích rutín. Tie hackerom dovoľujú zachytiť komunikáciu na infikovanom zariadení. Túto ukradnutú komunikáciu následne hackeri využijú na ukradnutie prihlasovacích údajov.
Hlbšia analýza ukázala, že DroidBot funguje systémom Malvér-ako-služba. Ide o spôsob distribúcie, pri ktorom skúsenejší hackeri vyvinú malvér a starajú sa oňho, pričom ho prenajímajú menej technicky zdatným zločincom, ktorí vykonávajú samotné útoky. Momentálne používa malvér približne 17 odlišných skupín. Niektoré medzi sebou komunikujú na rovnakých MQTT serveroch. To naznačuje, že aspoň niektorí aktéri spolupracujú na rovnakom cieli a demonštrujú schopnosti malvéru. Zoznam infikovaných aplikácií nájdeš v tomto článku.
V októbri užívateľom robil problém aj spyware, ktorý sa šíril cez viac ako 25-tisíc napadnutých webov. V rámci týchto útokov sme mohli pozorovať novú verziu malvéru ClickFix. Nová verzia sa drží starého modus operandi a škodlivý súbor šíri prostredníctvom falošných aktualizácií prehliadača.
Tieto falošné aktualizácie sa šíria cez WordPress plugin. Na prvý pohľad ide o zdanlivo legitímne pluginy, ktoré sa javia pre administrátorov stránky legitímne. V nich sa ale nachádza škodlivý skript, ktorý návštevníkom stránky ukazuje falošné okno s aktualizáciou pre prehliadač.
Malvéry z rodiny ClickFix sú špecifické v tom, že veľmi presvedčivo dokážu užívateľa nahovoriť, aby si malvér do počítača nainštaloval sám. Ako sa najnovšia verzia spywaru ClickFix prejavuje nájdeš v tomto článku.
Komentáre