ФБР предупреждает: HiatusRAT нацелен на веб-камеры и устройства DVR

Федеральное бюро расследований США (ФБР) сообщило о новой угрозе для веб-камер и цифровых видеорегистраторов (DVR). Эта угроза, известная как вредоносная программа HiatusRAT, позволяет киберпреступникам удаленно управлять такими устройствами.

Деятельность HiatusRAT отслеживается с июля 2022 года. Первоначально эта сложная вредоносная программа нацеливалась на устаревшие устройства периферийных сетей, но теперь достигла уровня проведения разведывательных атак на правительственные серверы, используемые для контрактов Министерства обороны США, а также на различные организации Тайваня.

В марте 2024 года операторы HiatusRAT начали масштабную кампанию сканирования в США, Австралии, Канаде, Новой Зеландии и Великобритании. Основными целями атак стали устройства Интернета вещей (IoT), подключенные к Интернету, особенно веб-камеры и DVR, произведенные в Китае.

HiatusRAT особенно заинтересован в устройствах, подключаемых через Telnet, таких компаний, как Xiongmai и Hikvision. В этих атаках использовались инструменты, такие как “Ingram” (доступен на GitHub) и “Medusa” (инструмент для взлома паролей с открытым исходным кодом), а также эксплуатировались несколько важных уязвимостей:

• CVE-2017-7921: Уязвимость неправильной аутентификации в камерах Hikvision.
• CVE-2018-9995: Возможность обхода аутентификации в нескольких брендах DVR.
• CVE-2020-25078: Уязвимость раскрытия удаленного пароля администратора в некоторых камерах D-Link.
• CVE-2021-33044: Проблема обхода личной аутентификации в продуктах Dahua.
• CVE-2021-36260: Уязвимость инъекции команд через веб-сервер в продуктах Hikvision.

Вредоносная программа HiatusRAT использует инструменты сканирования для поиска уязвимостей в IoT-устройствах и, получив контроль над устройством, может выполнять следующие задачи:

• Чтение и изменение данных на устройстве.
• Установка новых вредоносных программ.
• Проведение атак на другие устройства в сети.
• Использование устройства для DDoS-атак (распределенные атаки отказа в обслуживании).

Кроме того, киберпреступники, управляющие HiatusRAT, могут собирать данные с устройств и использовать их для последующих атак на другие организации. Особенно уязвимы устройства с устаревшим и не обновляемым программным обеспечением.

ФБР рекомендует принять следующие меры для защиты от подобных атак:

1. Регулярно обновляйте системы устройств, приложения и прошивки.
2. Периодически меняйте сетевые настройки и пароли учетных записей.
3. Применяйте политику создания сильных паролей и включайте двухфакторную аутентификацию.
4. Используйте инструменты мониторинга безопасности для обнаружения подозрительной сетевой активности.
5. Ведите журналы удаленных подключений и анализируйте их.
6. Применяйте политику использования только проверенных приложений.
7. Периодически проверяйте административные учетные записи.
8. Создавайте резервные копии важных данных в автономном режиме.
9. По возможности сегментируйте сеть, устанавливая межсетевые экраны между отдельными сегментами.

IoT-устройства, включая веб-камеры и DVR, остаются легкими целями для киберпреступников, поскольку часто обладают минимальной защитой, а пользователи недостаточно осознают важность обеспечения безопасности через эти устройства. Адаптация устройств к современным стандартам безопасности и установка сильных паролей являются важными шагами.

Для предотвращения кибератак каждой организации необходимо регулярно анализировать свою сетевую инфраструктуру. ФБР подчеркивает, что при обнаружении любой подозрительной активности следует незамедлительно сообщить в местный Центр кибербезопасности.